Apache CXF恶意JMS配置注入漏洞CVE-2025-48913

Apache CXF是一个开源Web服务框架，平台支持多种语言和协议，包括Java、C++、Python等，以及SOAP、RESTful HTTP等等协议。

一、基本情况

Apache CXF是一款开源的Web服务框架，用于构建和消费基于多种协议的Web服务，JMS传输模块专门负责与消息中间件进行集成通信。

Apache CXF支持JAX-WS（Java API for XML Web Services）和JAX-RS（Java API for RESTful Web Services）标准，在Linux中应用广泛。

栋科技漏洞库关注到Apache CXF受影响版本中存在恶意JMS配置导致JNDI注入漏洞，漏洞被追踪为CVE-2025-48913，CVSS评分为9.8。

二、漏洞分析

CVE-2025-48913漏洞是Apache CXF受影响版本的JMS组件中存在的高危漏洞，可能执行远程服务器上的恶意代码，导致远程代码执行。

漏洞源于受影响版本中，JMS传输模块的JndiHelper类初始化JNDI环境时，未对外部传入的java.naming.provider.url配置项进行安全校验。

攻击者若能控制此配置项，可将其指向一个恶意的RMI或LDAP服务地址，导致后续的JNDI查找操作加载并执行远程服务器上的恶意代码。

因而导致远程代码执行，修复版本中通过在JndiHelper类的构造函数增加安全检查逻辑，对java.naming.provider.url配置项进行协议验证。

一旦检测到其协议为不安全的rmi://或ldap://，系统将立即抛出异常并终止后续操作，阻止JNDI注入漏洞。

三、影响范围

Apache CXF 4.1.0 before 4.1.3

Apache CXF 4.0.0 before 4.0.9

Apache CXF before 3.6.8

四、修复建议

Apache CXF > 3.6.8

Apache CXF > 4.0.9

Apache CXF > 4.1.3

五、参考链接

管理员已设置登录后刷新可查看