.. _vulnerabilityManagement_securityAdvisory_2026_CVE-2026-50632: CVE-2026-50632, CVE-2026-50633 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Data: 2026-06-13 Severity: High CVSS Score: - CVE-2026-50632: 8.1 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H) - CVE-2026-50633: 8.1 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H) .. note:: La severity e i CVSS Score si riferiscono alle vulnerabilità della libreria. Come descritto nella sezione **GovWay**, le vulnerabilità non si manifestano nel prodotto, poiché risiedono nei moduli ``cxf-rt-transports-jms`` e ``cxf-integration-jca`` di Apache CXF, non distribuiti da GovWay. Riferimenti: - CVE-2026-50632: - `https://nvd.nist.gov/vuln/detail/CVE-2026-50632 `_ - `https://cxf.apache.org/security-advisories.data/CVE-2026-50632.txt `_ - CVE-2026-50633: - `https://nvd.nist.gov/vuln/detail/CVE-2026-50633 `_ - `https://cxf.apache.org/security-advisories.data/CVE-2026-50633.txt `_ Libreria: org.apache.cxf:cxf-rt-transports-jms, org.apache.cxf:cxf-integration-jca (versioni affette: < 4.1.7 e 4.2.0 - 4.2.1) **Descrizione** 1. [CVE-2026-50632] CWE-20: Improper Input Validation A further incomplete fix for a previous advisory CVE-2026-44417 (Untrusted JMS configuration can lead to RCE) for Apache CXF has been identified, which can allow code execution capabilities, if untrusted users are allowed to configure JMS for Apache CXF. Users are recommended to upgrade to versions 4.2.2 or 4.1.7, which fixes this issue. 2. [CVE-2026-50633] CWE-20: Improper Input Validation A JNDI Injection vulnerability has been discovered in Apache CXF's JCA integration module, which can allow for code execution, if an attacker is able to manipulate the JCA deployment descriptor (ra.xml) or runtime activation parameters. Users are recommended to upgrade to versions 4.2.2 or 4.1.7, which fixes this issue. **GovWay** Le due vulnerabilità abilitano l'esecuzione di codice (RCE) tramite componenti di Apache CXF che non fanno parte della distribuzione di GovWay: - **CVE-2026-50632** riguarda la configurazione del trasporto JMS di CXF (modulo ``cxf-rt-transports-jms``), non utilizzato da GovWay. Si tratta di un fix incompleto della precedente CVE-2026-44417 (cfr. :ref:`vulnerabilityManagement_securityAdvisory_2026_CVE-2026-44417`): il fix incluso in Apache CXF 4.2.1 è risultato non risolutivo e la correzione completa è disponibile in Apache CXF 4.2.2/4.1.7; - **CVE-2026-50633** riguarda il modulo di integrazione JCA di CXF (``cxf-integration-jca``) e richiede il controllo del descrittore di deployment JCA (``ra.xml``) o dei parametri di attivazione runtime; tale modulo non è presente in GovWay. GovWay utilizza esclusivamente il core CXF ed i runtime JAX-WS/JAX-RS su trasporto HTTP: non integra né il trasporto JMS né il modulo di integrazione JCA. Per questi motivi le vulnerabilità non si manifestano nel prodotto. .. note:: Le vulnerabilità sono segnalate dai tool di analisi delle dipendenze (es. OWASP dependency-check) a carico degli artefatti ``cxf-core`` e ``cxf-rt-transports-http-jetty``, in quanto l'NVD associa le vulnerabilità di Apache CXF alla CPE di prodotto ``cpe:2.3:a:apache:cxf`` senza distinguere il singolo modulo Maven. Il codice vulnerabile risiede tuttavia nei moduli ``cxf-rt-transports-jms`` (CVE-2026-50632) e ``cxf-integration-jca`` (CVE-2026-50633), non distribuiti da GovWay. Ciò premesso, per la linea 3.4.x la libreria viene aggiornata ad una versione non affetta a partire dalla release indicata nella successiva sezione Risoluzione. Versione affette: - 3.3.x: <= 3.3.20 - 3.4.x: <= 3.4.3 Risoluzione: - 3.3.x: - - 3.4.x: prima versione in rilascio