Vulnerabilidad en Apache CXF (CVE-2025-23184)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
21/01/2025
Última modificación:
15/12/2025
Descripción
Hay una posible vulnerabilidad de denegación de servicio presente en versiones de Apache CXF anteriores a 3.5.10, 3.6.5 y 4.0.6. En algunos casos extremos, es posible que las instancias de CachedOutputStream no se cierren y, si están respaldadas por archivos temporales, pueden llenar el archivo sistema (se aplica a servidores y clientes).
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:cxf:*:*:*:*:*:*:*:* | 3.5.10 (excluyendo) | |
| cpe:2.3:a:apache:cxf:*:*:*:*:*:*:*:* | 3.6.0 (incluyendo) | 3.6.5 (excluyendo) |
| cpe:2.3:a:apache:cxf:*:*:*:*:*:*:*:* | 4.0.0 (incluyendo) | 4.0.6 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://lists.apache.org/thread/lfs8l63rnctnj2skfrxyys7v8fgnt122
- http://www.openwall.com/lists/oss-security/2025/01/20/3
- https://security.netapp.com/advisory/ntap-20250214-0003/
- https://www.vicarius.io/vsociety/posts/cve-2025-23184-detect-apache-cxf-vulnerability
- https://www.vicarius.io/vsociety/posts/cve-2025-23184-mitigate-apache-cxf-vulnerability