【漏洞详情】

   由于Apache  Axis附带的默认服务包含硬编码的HTTP URL，攻击者可以通过域名（www.xmltoday.com）接管或者通过ARP欺骗服务器从而执行MITM攻击，并将HTTP请求重定向到恶意Web服务器，在Apache Axis服务器上远程执行代码（CVE-2019-0227），成功利用后漏洞对影响整个系统数据安全，漏洞危害大。

【风险评级】

高危

【影响范围】

Apache Axis Version = 1.4

【修复建议】

  如果必须使用Axis，建议删除Axis根目录中jws文件；

  确保在Axis或Axis2中运行的任何库或服务不存在外联的HTTP/HTTPS请求；

  升级到Apache Axis2版本，Apache Axis2的下载地址为：http://axis.apache.org/axis2/java/core/download.html。

【参考链接】

https://rhinosecuritylabs.com/application-security/cve-2019-0227-expired-domain-rce-apache-axis/

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。