← volver
CVE-2022-46364

Apache CXF SSRF Vulnerability

CVSS 9.8 CRITICALEPSS 1.9%CWE-918
Vexday Risk Score
48Atención
Decisión SSVC (CISA)
Attend
PoC disponible → seguir de cerca
CVSS 9.8EPSS 1.9%KEV nãoPoC públicaNuclei Metasploit Patch referenciado
Ciclo de vida
13 dic 2022Publicada en NVD
28 mar 2026PoC pública
Recomendación: Planificar corrección próxima — ya existe PoC pública.
A SSRF vulnerability in parsing the href attribute of XOP:Include in MTOM requests in versions of Apache CXF before 3.5.5 and 3.4.10 allows an attacker to perform SSRF style attacks on webservices that take at least one parameter of any type. 
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
Apache Software Foundation · Apache CXF
PoCs públicas encontradas5
githubgithub.com/kasem545/CVE-2022-46364-Poc7githubgithub.com/cybermaksx/CVE-2022-46364-Proof-of-the-concept2githubgithub.com/Shashivanth009/CVE-2022-46364---Apache-CXF-XOP-Include-LFI-PoC1githubgithub.com/0xmid00/CVE-2022-46364-poc1githubgithub.com/jwsly12/CVE-2022-46364-htb-ctf1
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://cxf.apache.org/security-advisories.data/CVE-2022-46364.txt?version=1&modificationDate=1670944472739&api=v2