Apache Axis 远程代码执行（CVE-2019-0227)

 

　1、基本情况

　　Apache Axis存在一个远程代码执行漏洞，CVE编号：CVE-2019-0227。

　　2、攻击原理

　　Axis附带的默认服务StockQuoteService.jws包含一个硬编码的HTTP URL，可用于触发HTTP请求。攻击者可以通过域名（www.xmltoday.com）接管或者通过ARP欺骗服务器从而执行MITM攻击，并将HTTP请求重定向到恶意Web服务器，在Apache Axis服务器上远程执行代码（CVE-2019-0227）。

　　

作者：

锦凡歆在 ‘来疯’ 直播唱歌最好听

 

3、影响范围

　　1）受影响的版本：

　　Apache Axis Version = 1.4

　　2） 不受影响的版本：

　　Apache Axis2 所有版本

　　4、处置建议

　　1）如果正在使用Axis，可以删除Axis根目录中StockQuoteService.jws文件。

　　2）确保在Axis或Axis2中运行的任何库或服务不存在外联的HTTP/HTTPS请求。

　　3）Apache Axis2的下载地址为：http://axis.apache.org/axis2/java/core/download.html

原文：https://rhinosecuritylabs.com/application-security/cve-2019-0227-expired-domain-rce-apache-axis/

poc:

https://github.com/RhinoSecurityLabs/CVEs/blob/master/CVE-2019-0227/CVE-2019-0227.py