Apache 软件基金会近日披露了一个影响多个版本 Apache CXF 的严重漏洞（编号 CVE-2025-48795）。Apache CXF 是广泛用于构建 SOAP 与 REST 应用的开源 Web 服务框架。此次漏洞带来双重威胁：既可能造成内存耗尽引发拒绝服务（DoS）攻击，也可能在应用日志中泄露明文敏感数据，包括认证凭据。

漏洞详情

官方通告指出：“Apache CXF 会将大型基于流的消息存储为本地临时文件。由于一个 bug，系统会将整个临时文件读入内存并记录日志。”

该漏洞的核心在于 CXF 处理大型消息负载的方式，特别是通过 SOAP、XML/HTTP 或 REST 传输的内容。原本应安全加密存储于临时文件的数据，在受到此漏洞影响时，CXF 会：

这意味着攻击者可通过构造超大请求触发服务崩溃，或诱使系统将明文凭证、API 密钥或会话数据写入日志，从而被意外泄露。

受影响版本

以下版本存在该漏洞：

• Apache CXF 3.5.10（早于 3.5.11）

• Apache CXF 3.6.5（早于 3.6.6）

• Apache CXF 4.0.6（早于 4.0.7）

• Apache CXF 4.1.0（早于 4.1.1）

由于 Apache CXF 广泛部署于金融、医疗、政府等高敏感领域系统，相关组织应高度警惕。

通告特别强调：

“该漏洞会将缓存文件未经加密写入日志，这是极具风险的行为。”

官方建议

Apache 基金会已发布安全更新，修复了日志记录行为，并恢复了临时文件的正确加密处理机制。建议用户立即升级至以下版本：

务必检查部署环境是否存在受影响版本，并审查日志记录策略，以防敏感信息泄露。