Apache CXF 漏洞曝光:存在拒绝服务与数据泄露双重风险
Apache软件基金会近日披露了一个影响多个Apache CXF版本的安全漏洞(CVE-2025-48795)。Apache CXF是开发者广泛使用的开源Web服务框架,用于构建基于SOAP和REST的应用程序。
漏洞双重威胁
该漏洞具有双重危害性:一方面可能通过内存耗尽导致拒绝服务(Denial-of-Service,DoS)攻击,另一方面可能将敏感数据(包括凭证信息)以明文形式意外暴露在应用程序日志中。
安全公告明确指出:"Apache CXF将基于流的大消息作为临时文件存储在本地文件系统中。由于代码缺陷,系统会将整个临时文件读入内存并进行日志记录。"
技术原理分析
该漏洞的核心问题在于Apache CXF处理大型消息负载的方式——特别是通过SOAP、XML/HTTP或REST传输的消息。正常情况下,基于流的数据应通过临时加密文件安全存储和管理。但在近期版本中,由于存在缺陷的代码变更,CXF会:
- 将整个临时文件读入内存,对于超大负载可能导致内存不足(Out-of-Memory,OOM)异常
- 记录全部内容,即使包含未加密的敏感信息,绕过了预期的安全防护措施
这意味着攻击者可以通过发送大量请求使服务崩溃,更严重的是,可能迫使系统将认证凭证或会话数据等敏感信息泄露到本不应包含此类内容的日志文件中。
受影响版本
该漏洞影响以下版本:
- Apache CXF 3.5.10(3.5.11之前版本)
- Apache CXF 3.6.5(3.6.6之前版本)
- Apache CXF 4.0.6(4.0.7之前版本)
- Apache CXF 4.1.0(4.1.1之前版本)
使用这些版本的组织——特别是金融、医疗和政府系统——应高度警惕。
安全风险警示
安全公告警告称:"此漏洞意味着缓存文件会以未加密形式写入日志",这对于处理个人身份信息(PII)、令牌或API密钥的系统尤其危险。
修复建议
Apache基金会敦促用户立即升级至以下修复版本:
- 3.5.11
- 3.6.6
- 4.0.7
- 4.1.1
这些更新修正了日志记录行为,恢复了临时文件的正确加密处理方式。