Apache CXF 3.2.14 爆出 7 个高危漏洞，最高 CVSS 9.8 分且可达

Apache CXF 框架的一个关键组件被曝存在严重安全风险。在 `cxf-rt-frontend-jaxws-3.2.14.jar` 库中，安全扫描发现了 7 个漏洞，其中最高严重性评分为 CVSS 9.8 分。更关键的是，这些漏洞被标记为“可达”，意味着攻击者有可能通过网络请求等途径实际利用这些缺陷，而不仅仅是存在于代码库中。该漏洞库的路径指向 `/home/wss-scanner/.m2/repository/org/apache/cxf/cxf-core/3.2.14/cxf-core-3.2.14.jar`，表明这是一个广泛使用的核心依赖项。

此次发现的漏洞中，包括了 CVE-2022-46364 等已公开的严重缺陷。CVSS 9.8 分属于“严重”级别，通常意味着漏洞易于被远程利用，且可能造成机密性、完整性和可用性的全面破坏。漏洞详情显示，它们存在于 Apache CXF 3.2.14 版本中，而修复方案指向了更高的 `cxf-rt-frontend-jaxws` 版本。对于依赖此版本 CXF 进行 Web 服务开发的 Java 应用而言，这构成了直接且紧迫的威胁。

该发现源于对 GitHub 仓库 `TravisPooley/vulhub` 中特定提交的扫描，凸显了开源供应链安全的风险。Apache CXF 作为构建 SOAP 和 RESTful Web 服务的主流框架，被广泛应用于企业级系统中。这些可达的高危漏洞若被利用，可能导致受影响的服务遭受远程代码执行、数据泄露或拒绝服务攻击。所有使用该脆弱版本的项目团队应立即核查依赖，并优先升级至已修复的安全版本，以缓解潜在的大规模入侵风险。