Katalog CVE

CVE-2026-49875

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.49%

Percentyl 38 — wyżej niż 38% wszystkich znanych CVE

Streszczenie

Podatność w Apache CXF dotyczy klas EndpointReferenceUtils i W3CMultiSchemaFactory, które tworzą SAXParserFactory bez wymaganych konfiguracji zabezpieczających JAXP, co umożliwia rozwiązywanie zewnętrznych encji poza pasmem (OOB).

Ocena ryzyka

Atakujący może wykorzystać tę podatność do odczytu plików z serwera, przeprowadzenia ataków SSRF lub wycieku danych wrażliwych poprzez żądania OOB.

Rekomendacja

Należy niezwłocznie zaktualizować Apache CXF do wersji 4.2.2 lub 4.1.7, które zawierają poprawkę eliminującą problem.

Oryginalny opis (angielski, źródło NVD)

Apache CXF's EndpointReferenceUtils and W3CMultiSchemaFactory classes construct a SAXParserFactory without the necessary JAXP hardening configurations, enabling out-of-band (OOB) external entity resolution. Users are recommended to upgrade to versions 4.2.2 or 4.1.7, which fix this issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS