【漏洞预警】Apache Axis 服务端请求伪造漏洞 (CVE-2023-51441)

漏洞详情:Axis 是一个开源、建基于XML的Web服务架构。它包含了Java和C++语言实现的SOAP服务器，以及各种公用服务及API以生成和部署Web服务应用,检测到ApahceAxis发布安全公告，公开了一个服务端请求伪造（SSRF）漏洞，能够访问admin service的攻击者可以通过可以构造恶意请求进行服务端请求伪造（SSRF）攻击，该漏洞是由于ServiceFactory.class中对用户传入的jndi参数过滤不够严格，导致可以通过恶意请求进行SSRF漏洞利用。修复方案:1.官方后续已经停止维护axis并发布了axis2， axis2对旧有的axis重新设计及重写，并提供两种语言Java及C的开发版本，建议用户逐步升级Apache axis2 。链接：https://axis.apache.org/axis2/java/core/2.官方提供了代码修复方式，但不会正式推出，用户可自行参考官方修复方式对本地代码进行修改。参考链接:https://github.com/apache/axis-axis1-java/commit/685c309febc ………………………………