漏洞概述 漏洞标题: BridgeHead Software - BridgeHead FileStore Apache Axis2 Default Credentials RCE 披露日期: 2026年4月24日 CVE ID: CVE-2026-39920 漏洞作者: Victor A. Morales (GM Sectec, Corp.) 厂商官网: https://www.bridgeheadsoftware.com/rapid-data-protection-product-updates/ 描述: BridgeHead FileStore 24A 之前的版本(2024年初发布)中,Apache Axis2 管理模块暴露了网络可访问的端点,允许未授权的攻击者使用默认凭据执行任意操作系统命令。攻击者可以使用默认凭据登录管理控制台,上传恶意的 Java 档案作为 Web 服务,并通过 SOAP 请求从主机执行任意命令。 影响范围 已知受影响版本: < 24A 修复方案 建议: 升级到 BridgeHead FileStore 24A 或更高版本。 POC 代码