1、基本情况
Apache Axis存在一个远程代码执行漏洞,CVE编号:CVE-2019-0227。
2、攻击原理
Axis附带的默认服务StockQuoteService.jws包含一个硬编码的HTTP URL,可用于触发HTTP请求。攻击者可以通过域名(www.xmltoday.com)接管或者通过ARP欺骗服务器从而执行MITM攻击,并将HTTP请求重定向到恶意Web服务器,在Apache Axis服务器上远程执行代码(CVE-2019-0227)。
3、影响范围
1)受影响的版本:
Apache Axis Version = 1.4
2) 不受影响的版本:
Apache Axis2 所有版本
4、处置建议
1)如果正在使用Axis,可以删除Axis根目录中StockQuoteService.jws文件。
2)确保在Axis或Axis2中运行的任何库或服务不存在外联的HTTP/HTTPS请求。
3)Apache Axis2的下载地址为:http://axis.apache.org/axis2/java/core/download.html
原文:https://rhinosecuritylabs.com/application-security/cve-2019-0227-expired-domain-rce-apache-axis/
poc:
https://github.com/RhinoSecurityLabs/CVEs/blob/master/CVE-2019-0227/CVE-2019-0227.py