Apache Software FoundationのApache Neethiにおけるリソースの枯渇に関する脆弱性
| Title |
Apache Software FoundationのApache Neethiにおけるリソースの枯渇に関する脆弱性
|
| Summary |
Apache Neethiには、ポリシー正規化におけるアルゴリズムの複雑さを悪用するサービス拒否(DoS)攻撃の脆弱性があります。特別に細工されたWS-Policyドキュメントは、正規化プロセス中に指数関数的なカルテジアン積の拡張を引き起こし、JVMヒープを使い果たす無制限のメモリ割り当てをもたらします。この問題は、正規化プロセスが制限なく過剰な数のポリシー代替案を生成するために発生し、実行時にメモリが枯渇します。ユーザーには、正規化されたポリシー代替案の最大数を制限するバージョン3.2.2へのアップグレードを推奨します。
|
| Possible impacts |
当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
May 1, 2026, midnight |
| Registration Date |
May 7, 2026, 12:01 p.m. |
| Last Update |
May 7, 2026, 12:01 p.m. |
|
CVSS3.0 : 重要
|
| Score |
7.5
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Affected System
| Apache Software Foundation |
|
Apache Neethi 3.2.2 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年05月07日]
掲載 |
May 7, 2026, 12:01 p.m. |
NVD Vulnerability Information
CVE-2026-42402
| Summary |
Apache Neethi is vulnerable to a Denial of Service attack through algorithmic complexity in policy normalization. Specially crafted WS-Policy documents can trigger an exponential Cartesian cross-product expansion during the normalization process, causing unbounded memory allocation that exhausts the JVM heap. This occurs when the normalization process generates an excessive number of policy alternatives without bounds, leading to runtime memory exhaustion.
Users should upgrade to 3.2.2 which limits the maximum number of normalized policy alternatives.
|
| Publication Date |
May 1, 2026, 6:16 p.m. |
| Registration Date |
May 2, 2026, 4:06 a.m. |
| Last Update |
May 2, 2026, 3:08 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:apache:neethi:*:*:*:*:*:*:*:* |
|
|
|
3.2.2 |
Related information, measures and tools
Common Vulnerabilities List