Apache SOAP身份验证错误漏洞

Apache SOAP身份验证错误漏洞

Apache SOAP是美国阿帕奇（Apache）基金会的用作客户端库来调用其他地方可用的SOAP服务，也可以用作服务器端工具来实现SOAP可访问服务。

一、漏洞分析

 公开日期：2022-11-21

 漏洞编号：CNVD-2022-78864/CVE-2022-45378

 危害等级：高危

 漏洞描述：Apache SOAP存在身份验证错误漏洞，该漏洞源于RPCRouterServlet无需身份验证即可使用，攻击者可利用该漏洞有可能在满足特定条件的类路径上调用方法，根据类路径上可用的类可能导致任意远程代码执行。

二、漏洞影响产品

Apache SOAP <=2.3

三、漏洞处置建议

厂商已发布了漏洞修复程序，请及时关注更新：

https://lists.apache.org/thread/g4l64s283njhnph2otx7q4gs2j952d31/