.. _vulnerabilityManagement_skip_registry_34x_CVE-2026-53914: CVE-2026-53914 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Data: 2026-07-01 Severity: Critical CVSS Score: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RC:R/MAV:A) Riferimenti: - `https://nvd.nist.gov/vuln/detail/CVE-2026-53914 `_ Libreria: org.jetbrains.kotlin:kotlin-stdlib **Descrizione** In JetBrains Kotlin before 2.4.20 code execution was possible via unsafe deserialization in the build cache metadata. **Falso Positivo per GovWay** La vulnerabilità 'CVE-2026-53914' riguarda il tooling di build di Kotlin: la deserializzazione insicura interessa i metadati della build cache utilizzati durante la compilazione incrementale. Tale logica risiede negli artefatti di build di Kotlin (compilatore, build-tools, plugin Gradle/Maven) e non nella libreria standard a runtime 'kotlin-stdlib', che non gestisce né deserializza metadati di build cache. Coerentemente, il vettore d'attacco documentato dal vendor (JetBrains) è locale, in ambiente di build e con privilegi elevati (CVSS 6.7), quindi non sfruttabile su un'applicazione in esecuzione. In GovWay la libreria 'kotlin-stdlib' è utilizzata unicamente come dipendenza a runtime della libreria json-sKema (validazione OpenAPI/JSON Schema); GovWay non compila codice Kotlin e non utilizza la build cache di Kotlin. Si tratta quindi di un falso positivo. Configuration File: `false-positive.xml `_