【漏洞通告】Apache CXF JMS远程代码执行漏洞(CVE-2026-44417)
发布时间 2026-05-26
Apache CXF是一款广泛使用的开源Web Services开发框架,支持SOAP、REST、JAX-WS、JAX-RS及JMS等多种通信协议,常用于构建企业级SOA服务、微服务及分布式集成平台。其具备良好的扩展性与协议兼容能力,被广泛应用于金融、政务、运营商及企业集成场景。
2026年5月26日,启明星辰安全应急响应中心(VSRC)监测到Apache CXF JMS远程代码执行漏洞。属于此前CVE-2025-48913修复不完整导致的安全问题。由于Apache CXF在处理JMS配置时仍存在未完全覆盖的危险代码路径,攻击者在具备JMS配置权限或可注入不可信JMS配置的情况下,可利用该漏洞触发任意代码执行,进而控制应用服务、窃取敏感数据或横向渗透内部系统。该问题主要影响启用JMS传输功能的CXF服务环境,可能导致业务中断、数据泄露及合规风险,对企业SOA架构及基于Web Services的业务系统安全造成影响。
二、影响范围
4.0.0 <= Apache CXF(org.apache.cxf:cxf-rt-transports-jms) < 4.1.6
4.2.0 <= Apache CXF(org.apache.cxf:cxf-rt-transports-jms) < 4.2.1
Apache CXF(org.apache.cxf:cxf-rt-transports-jms) < 3.6.11
三、安全措施
3.1 升级版本
官方已发布修复补丁,以修复该漏洞。
Apache CXF(org.apache.cxf:cxf-rt-transports-jms) >= 3.6.11
Apache CXF(org.apache.cxf:cxf-rt-transports-jms) >= 4.1.6
Apache CXF(org.apache.cxf:cxf-rt-transports-jms) >= 4.2.1
下载链接:
https://cxf.apache.org/download.html/
3.2 临时措施
暂无。
3.3 通用建议
定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
使用企业级安全产品,提升企业的网络安全性能。
加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
启用强密码策略并设置为定期修改。
3.4 参考链接
https://lists.apache.org/thread/bqg6gjy2cx7rfyqjxcpv3jwjvmclvz4o/
https://nvd.nist.gov/vuln/detail/CVE-2026-44417
京公网安备11010802024551号