安全公告/【CVE-2022-31625】

基本信息

漏洞描述

Apache AXIS 是一个开源、建基于XML的Web服务架构。它包含了Java和C++语言实现的SOAP服务器，以及各种公用服务及API用以生成和部署Web服务应用。 Apache AXIS 1.4及之前的版本存在命令执行漏洞，攻击者可以发送精心构造的恶意HTTP-POST请求，获得目标服务器的权限，在未授权的情况下远程执行命令。

修复方式

目前，Apache官方暂未发布该漏洞补丁，但可以通过临时修补措施缓解漏洞带来的危害，漏洞修补措施如下：
1、配置URL访问控制策略：
可通过ACL禁止对/services/AdminService及/services/FreeMarkerService路径的访问。
2、禁用AXIS远程管理功能
到网站目录下找到server-config.wsdd文件，用文本编辑器打开，找到enableRemoteAdmin配置项，将值设置为false。

漏洞判定

版本比对检测原理：检查当前系统中Axis版本是否在1.4版本内|版本比对检测结果：- Axis
  当前安装版本：1.4 1855 April 22 2006
  应用相关信息：
  - 进程PID：6533
  - 应用路径：/home/weblogic/user_projects/domains/provdomain/WebRoot/WEB-INF/lib/axis.jar
该主机存在此漏洞

参考

--