近日，我司监测到Apache发布安全公告，修复了2个存在于Apache CXF中的安全漏洞。

Apache CXF是一个开源服务框架。CXF帮助你使用前端编程API构建和开发服务，比如JAX-WS和JAX-RS。这些服务可以使用多种协议，如SOAP、XML/HTTP、RESTful HTTP或CORBA，并通过多种传输协议工作，如HTTP、JMS或JBI。

漏洞详情如下：

1.CVE-2022-46364 Apache CXF存在SSRF漏洞

风险等级：高危

漏洞类型：SSRF

漏洞简介：该漏洞影响启用MTOM的SOAP或JAXRS的web服务，Unmarshaller类允许XOP协议标签中的href属性接受任何协议类型的属性值。因此用户的恶意输入可能会触发服务器请求伪造（SSRF）攻击，攻击者可利用该漏洞进行内网扫描甚至访问内部系统数据。

2.CVE-2022-46363 Apache CXF存在远程目录列出漏洞

风险等级：中危

漏洞类型：配置错误

漏洞简介：当CXFServlet同时配置了静态资源列表和重定向查询检查属性时，攻击者可利用该漏洞获取目标目录列表敏感信息。

影响版本：

• 3.5.0 <= Apache CXF 3.5.x < 3.5.5
• Apache CXF 3.4.x < 3.4.10

安全版本：

• Apache CXF 3.5.x >= 3.5.5
• Apache CXF 3.4.x >= 3.4.10

修复建议：

官方已经针对漏洞发布了补丁更新，下载地址如下：

https://cxf.apache.org/download.html