Может кто-нибудь сказать, пожалуйста, в какой версии Apache axis2 CVE-2012-5785 исправлена?
Прямо из описания уязвимости
Apache Axis2 / Java 1.6.2 и более ранние версии не проверяют, совпадает ли имя хоста сервера с именем домена в поле Common Name (CN) субъекта или subjectAltName сертификата X.509, что позволяет злоумышленникам подделывать сообщения SSL-серверы через произвольный действительный сертификат.
Я должен указать, что никакой версии после 1.6.2 специально не указано, что они исправили данную уязвимость. Тем не менее, вы должны использовать текущую версию 1.7.7, чтобы иметь максимальный шанс не быть уязвимым из-за многочисленных изменений с 2012 года. Без проверки концептуального кода будет трудно доказать, что текущая версия все еще уязвима. Буквально это исправление было задокументировано как-то еще и просто не вызывало этот конкретный CVE в журнале изменений.