【缝隙公告】Apache CXF JMS远程代码执行缝隙(CVE-2026-44417)

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】Apache CXF JMS远程代码执行缝隙(CVE-2026-44417)

颁布功夫 2026-05-26

一、缝隙概述

缝隙概述0526 2.png

Apache CXF是一款宽泛使用的开源Web Services开发框架，支持SOAP、REST、JAX-WS、JAX-RS及JMS等多种通讯和谈，常用于构建企业级SOA服务、微服务及散布式集成平台。其具备优良的扩大性与和谈兼容能力，被宽泛利用于金融、政务、运营商及企业集成场景。

2026年5月26日，宝运莱官方网站安全应急响应中心（VSRC）监测到Apache CXF JMS远程代码执行缝隙。属于此前CVE-2025-48913建复不齐全导致的安全问题。由于Apache CXF在处置JMS配置时仍存在未齐全覆盖的危险代码蹊径，攻击者在具备JMS配置权限或可注入不成信JMS配置的情况下，可利用该缝隙触发肆意代码执行，进而节造利用服务、窃取敏感数据或横向渗入内部系统。该问题重要影响启用JMS传输职能的CXF服务环境，可能导致业务中断、数据泄露及合规风险，对企业SOA架构及基于Web Services的业务系统安全造成影响。

二、影响领域

4.0.0 <= Apache CXF(org.apache.cxf:cxf-rt-transports-jms) < 4.1.6

4.2.0 <= Apache CXF(org.apache.cxf:cxf-rt-transports-jms) < 4.2.1

Apache CXF(org.apache.cxf:cxf-rt-transports-jms) < 3.6.11

三、安全措施

3.1 升级版本

官方已颁布建复补丁，以建复该缝隙。

Apache CXF(org.apache.cxf:cxf-rt-transports-jms) >= 3.6.11

Apache CXF(org.apache.cxf:cxf-rt-transports-jms) >= 4.1.6

Apache CXF(org.apache.cxf:cxf-rt-transports-jms) >= 4.2.1

下载链接：

https://cxf.apache.org/download.html/

3.2 一时措施

暂无。

3.3 通用建议

定期更新系统补丁，削减系统缝隙，提升服务器的安全性。

加强系统和网络的接见节造，批改防火墙战术，关关非必要的利用端口或服务，削减将危险服务（如SSH、RDP等）露出到公网，削减攻击面。

使用企业级安全产品，提升企业的网络安全机能。

加强系统用户和权限治理，启用多成分认证机造和最幼权限准则，用户和软件权限应维持在最低限度。

启用强密码战术并设置为定期批改。

3.4 参考链接

https://lists.apache.org/thread/bqg6gjy2cx7rfyqjxcpv3jwjvmclvz4o/

https://nvd.nist.gov/vuln/detail/CVE-2026-44417

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研