.. _vulnerabilityManagement_securityAdvisory_2026_CVE-2026-50631: CVE-2026-50631, CVE-2026-50623, CVE-2026-50630, CVE-2026-50629 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Data: 2026-06-13 Severity: High CVSS Score: - CVE-2026-50631: 7.4 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N) - CVE-2026-50623: 6.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N) - CVE-2026-50630: 6.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N) - CVE-2026-50629: 5.3 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N) .. note:: La severity e i CVSS Score si riferiscono alle vulnerabilità della libreria. Come descritto nella sezione **GovWay**, le vulnerabilità non si manifestano nel prodotto, poiché risiedono nel modulo ``cxf-rt-rs-security-oauth2`` (server OAuth2 di Apache CXF) non distribuito da GovWay. Riferimenti: - CVE-2026-50631: - `https://nvd.nist.gov/vuln/detail/CVE-2026-50631 `_ - `https://cxf.apache.org/security-advisories.data/CVE-2026-50631.txt `_ - CVE-2026-50623: - `https://nvd.nist.gov/vuln/detail/CVE-2026-50623 `_ - `https://cxf.apache.org/security-advisories.data/CVE-2026-50623.txt `_ - CVE-2026-50630: - `https://nvd.nist.gov/vuln/detail/CVE-2026-50630 `_ - `https://cxf.apache.org/security-advisories.data/CVE-2026-50630.txt `_ - CVE-2026-50629: - `https://nvd.nist.gov/vuln/detail/CVE-2026-50629 `_ - `https://cxf.apache.org/security-advisories.data/CVE-2026-50629.txt `_ Libreria: org.apache.cxf:cxf-rt-rs-security-oauth2 (versioni affette: < 4.1.7 e 4.2.0 - 4.2.1) **Descrizione** Le quattro vulnerabilità riguardano il modulo ``cxf-rt-rs-security-oauth2`` di Apache CXF, ovvero l'implementazione del server OAuth2 (Authorization Server / endpoint di introspection). 1. [CVE-2026-50631] CWE-367: Time-of-check Time-of-use (TOCTOU) Race Condition A race condition in AbstractOAuthDataProvider allows concurrent requests using the same Refresh Token to bypass single-use semantics and generate multiple valid Access Tokens, when 'recycleRefreshTokens' is set to false. A leaked refresh token can be replayed concurrently by multiple attackers or threads. Users are recommended to upgrade to versions 4.2.2 or 4.1.7, which fixes this issue. 2. [CVE-2026-50623] CWE-287: Improper Authentication An authentication bypass vulnerability exists in the OAuth2 TokenIntrospectionService in Apache CXF. Due to a missing 'throw' keyword in the security context check, the introspection endpoint (/services/oauth2/introspect) can be accessed by any unauthenticated network attacker. However note that this is a safeguard only in the case that someone forgot to enable authentication on the service. Users are recommended to upgrade to version 4.2.2 or 4.1.7, which fixes this issue. 3. [CVE-2026-50630] CWE-113: Improper Neutralization of CRLF Sequences in HTTP Headers ('HTTP Request/Response Splitting') A CRLF injection vulnerability exists in the OAuth2 AuthorizationUtils class. When constructing the WWW-Authenticate response header, the 'realm' parameter is concatenated without sanitizing Carriage Return (CR) and Line Feed (LF) characters. If an attacker can control the realm value, they can inject arbitrary HTTP headers or split the HTTP response entirely. Users are recommended to upgrade to versions 4.2.2 or 4.1.7, which fixes this issue. 4. [CVE-2026-50629] CWE-93: Improper Neutralization of CRLF Sequences ('CRLF Injection') The 'clientId' parameter from incoming HTTP requests is directly concatenated into OAuth2 server log warning messages without sanitizing control characters. This allows an attacker to inject arbitrary content, including fake log entries, into the server's log files. Users are recommended to upgrade to versions 4.2.2 or 4.1.7, which fixes this issue. **GovWay** Le quattro vulnerabilità risiedono nel modulo ``cxf-rt-rs-security-oauth2`` di Apache CXF, che implementa il ruolo di Authorization Server OAuth2 (rilascio token, endpoint di introspection ``/services/oauth2/introspect``, gestione dei refresh token, header ``WWW-Authenticate``). Tale modulo **non fa parte della distribuzione di GovWay**: il prodotto non espone alcun Authorization Server OAuth2 basato su Apache CXF. La gestione dei token OAuth2 in GovWay (validazione e introspection dei token verso Identity Provider esterni, negoziazione PDND) è realizzata con logica propria, indipendente dal modulo server OAuth2 di CXF. Per questi motivi le vulnerabilità non si manifestano nel prodotto. .. note:: Le vulnerabilità sono segnalate dai tool di analisi delle dipendenze (es. OWASP dependency-check) a carico degli artefatti ``cxf-core`` e ``cxf-rt-transports-http-jetty``, in quanto l'NVD associa le vulnerabilità di Apache CXF alla CPE di prodotto ``cpe:2.3:a:apache:cxf`` senza distinguere il singolo modulo Maven. Il codice vulnerabile risiede tuttavia nel modulo ``cxf-rt-rs-security-oauth2``, non distribuito da GovWay. Ciò premesso, per la linea 3.4.x la libreria viene aggiornata ad una versione non affetta a partire dalla release indicata nella successiva sezione Risoluzione. Versione affette: - 3.3.x: <= 3.3.20 - 3.4.x: <= 3.4.3 Risoluzione: - 3.3.x: - - 3.4.x: prima versione in rilascio