Специалисты по информационной безопасности зафиксировали опасную проблему в популярном каркасе для веб-сервисов Apache CXF. Речь идёт об уязвимости, которая позволяет удалённо получить доступ к защищаемой информации. Соответствующая запись появилась в Банке данных угроз безопасности информации (BDU) под номером BDU:2026-07399 (CVE-2026-44930). Уровень опасности этой уязвимости оценён как критический - это один из самых высоких показателей по шкале CVSS.
Детали уязвимости
В чём суть проблемы? Уязвимость связана с сервисом XKMS (XML Key Management Specification), который входит в состав Apache CXF. Злоумышленник может отправить специально сформированный запрос, содержащий вредоносные элементы для протокола LDAP. Другими словами, атака строится на внедрении LDAP-команд, что классифицируется как ошибка типа CWE-90. Такие инъекции позволяют нарушителю манипулировать запросами к каталогу и извлекать данные, к которым у него не должно быть доступа.
Механизм эксплуатации этой уязвимости относительно прост для атакующего. Ему не требуется проходить аутентификацию или обладать привилегиями. Вектор атаки - сетевой, то есть вредоносный запрос можно отправить удалённо. Достаточно найти уязвимую версию продукта, которая используется на сервере. После успешной инъекции LDAP нарушитель получает полный контроль над этой компонентой. В результате возможен не только просмотр, но и изменение важной информации. При этом последствия могут быть самыми серьёзными: от кражи базы данных пользователей до компрометации всей корпоративной сети.
Под удар попали сразу несколько веток Apache CXF. Во-первых, это версии с 4.2.0 по 4.2.1 включительно. Во-вторых, версии с 4.0.0 по 4.1.6. В-третьих, все версии до 3.6.11. К счастью, разработчики уже выпустили обновления, которые устраняют проблему. Однако пользователям и администраторам систем, где применяется Apache CXF, необходимо как можно быстрее проверить текущие версии и установить патчи.
Следует отметить, что уязвимость получила высокую оценку по обеим версиям рейтинга CVSS. По версии 2.0 базовый балл составил 10 - это максимально возможный показатель. По версии 3.1 он равен 9,8. Такие цифры говорят о том, что ошибка носит критический характер. Маловероятно, что останутся системы, не затронутые данным багом в указанных версиях. Особенно это касается организаций, которые используют Apache CXF в качестве основы для своих корпоративных веб-сервисов и интеграционных решений.
Примечательно, что уязвимость подтверждена производителем. Однако на момент публикации сведений о готовом эксплойте не поступало. Тем не менее, учитывая высокий интерес злоумышленников к подобным компонентам, с большой вероятностью инструменты для атаки скоро появятся в открытом доступе. Поэтому пассивное ожидание может привести к печальным последствиям. Специалистам по безопасности стоит действовать на опережение.
Какие риски несёт эта уязвимость? В первую очередь - утечка конфиденциальной информации. Apache CXF часто применяется в финансовом секторе, государственных учреждениях и телекоммуникационных компаниях. Через LDAP обычно передаются данные о пользователях, их ролях и правах доступа. Если злоумышленник сможет подменить запрос, он получит доступ к этим сведениям. Более того, через внедрение LDAP иногда можно выполнять команды на сервере, что ведёт к полной компрометации системы.
В данных BDU указано, что ПО относится как к прикладному, так и к сетевому типу. Это значит, что уязвимость может быть использована на разных уровнях - и в прикладной логике, и в сетевых взаимодействиях. В результате атаки возможен не только просмотр данных, но и их модификация. Для бизнеса это оборачивается остановкой критически важных процессов, репутационными потерями и финансовым ущербом.
Рекомендации по устранению уязвимости уже опубликованы. Производитель советует обновить Apache CXF до последних версий: для ветки 3.x - минимум до 3.6.11, для 4.0.x - до 4.1.7, для 4.2.x - до 4.2.2. Полный список патчей приведён на официальном сайте Apache. Кроме того, специалистам по безопасности следует проверить логи на предмет подозрительной активности, связанной с LDAP-запросами. В идеале стоит ограничить доступ к сервисам XKMS только для доверенных пользователей.
В заключение стоит подчеркнуть, что подобные инциденты напоминают о важности своевременного обновления программного обеспечения. Apache CXF - зрелый продукт, но никто не застрахован от ошибок безопасности. Пренебрежение обновлениями может стоить компании не только денег, но и доверия клиентов. Поэтому сейчас главное - не откладывать установку исправлений.
Ссылки
- https://bdu.fstec.ru/vul/2026-07399
- https://www.cve.org/CVERecord?id=CVE-2026-44930
- https://lists.apache.org/thread/c1zqxppo1m5z3kbdhjn5p991zk09ynkh
- https://www.openwall.com/lists/oss-security/2026/05/22/9
