6月17日，重庆梦之想科技有限责任公司通过数据监控发现，APACHE AXIS远程命令执行漏洞，攻击者可以发送精心构造的恶意HTTP-POST请求，获得目标服务器的权限，在未授权的情况下远程执行命令。

CVE编号：暂无

严重程度：高危

影响版本：Apache AXIS<=1.4(AXIS允许远程管理，使用Freemarker插件)

APACHE AXIS远程命令执行漏洞，攻击者可以发送精心构造的恶意HTTP-POST请求，获得目标服务器的权限，在未授权的情况下远程执行命令。

攻击者通过请求：

http://www.xxx.com/services/AdminService

http://www.xxx.com/services/FreeMarkerService

操作前请提前备份现有文件：

1.配置URL访问控制策略

部署于公网的AXIS服务器，可通过ACL禁止对/services/AdminService及/services/FreeMarkerService路径的访问

2.禁用AXIS远程管理功能

AXIS<=1.4版本默认关闭了远程管理功能，如非必要请勿开启。

若需关闭，则需修改AXIS目录下WEB-INF文件夹中的server-config.wsdd文件，将其中"enableRemoteAdmin"的值设置为false。