Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Apache Axis 1.x (CVE-2023-40743)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-20 Validación incorrecta de entrada
Fecha de publicación:
05/09/2023
Última modificación:
13/02/2025

Descripción

** NO SOPORTADO CUANDO ESTÉ ASIGNADO ** ** NO SOPORTADO CUANDO ESTÉ ASIGNADO ** Al integrar Apache Axis 1.x en una aplicación, puede que no haya sido obvio que buscar un servicio a través de "ServiceFactory.getService" permita mecanismos de búsqueda potencialmente peligrosos como LDAP . Al pasar entradas que no son de confianza a este método API, esto podría exponer la aplicación a DoS, SSRF e incluso ataques que conduzcan a RCE. Como Axis 1 ha estado en EOL, le recomendamos migrar a un motor SOAP diferente, como Apache Axis 2/Java. Como workaround, puede revisar su código para verificar que no se pase ninguna entrada que no sea de confianza o no sanitizada a "ServiceFactory.getService", o aplicando el parche desde https://github.com/apache/axis-axis1-java/commit/7e66753427466590d6def0125e448d2791723210. El proyecto Apache Axis no espera crear una versión Axis 1.x que solucione este problema, aunque los contribuyentes que deseen trabajar para lograrlo son bienvenidos.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:apache:axis:*:*:*:*:*:*:*:* 2023-08-01 (excluyendo)