.. _vulnerabilityManagement_securityAdvisory_2026_CVE-2026-50634: CVE-2026-50634 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Data: 2026-06-13 Severity: Medium CVSS Score: 6.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N) .. note:: La severity e il CVSS Score si riferiscono alla vulnerabilità della libreria. Come descritto nella sezione **GovWay**, la vulnerabilità non si manifesta nel prodotto: GovWay non utilizza il filtro JAX-RS ``JwsJsonContainerRequestFilter`` di Apache CXF. Riferimenti: - `https://nvd.nist.gov/vuln/detail/CVE-2026-50634 `_ - `https://cxf.apache.org/security-advisories.data/CVE-2026-50634.txt `_ Libreria: org.apache.cxf:cxf-rt-rs-security-jose-jaxrs (versioni affette: < 4.1.7 e 4.2.0 - 4.2.1) **Descrizione** CWE-347: Improper Verification of Cryptographic Signature A vulnerability in Apache CXF's JwsJsonContainerRequestFilter can be exploited to cause CXF to process metadata that was not authenticated by the accepted signature. This can bypass the application's assumption that accepted \`Content-Type\` or protected HTTP-header metadata came from a verified signature entry, and may steer downstream JAX-RS entity parsing or signed-header consistency checks. Users are recommended to upgrade to versions 4.2.2 or 4.1.7, which fix this issue. **GovWay** La vulnerabilità risiede nella classe ``JwsJsonContainerRequestFilter`` del modulo ``cxf-rt-rs-security-jose-jaxrs`` di Apache CXF: si tratta di un filtro JAX-RS *auto-wired* che valida le firme JWS-JSON sulle richieste in ingresso a livello di container. Il modulo ``cxf-rt-rs-security-jose-jaxrs`` è incluso nella distribuzione di GovWay, ma il prodotto **non utilizza** tale filtro (né gli altri filtri JAX-RS JOSE auto-wired di CXF, quali ``JwsContainerRequestFilter``, ``JweJsonContainerRequestFilter``, ``JweContainerRequestFilter``): nessuno di essi è registrato come provider JAX-RS. La sicurezza dei messaggi REST basata su JOSE (firma e cifratura JWS/JWE) è realizzata da GovWay utilizzando direttamente l'**API JOSE** di CXF in modo programmatico (``JwsCompactConsumer``, ``JwsJsonConsumer``, ``JweCompactConsumer``, ``JweJsonConsumer`` e classi correlate), con validazione esplicita della firma effettuata prima dell'elaborazione del contenuto. Il filtro vulnerabile non viene quindi mai istanziato. Per questi motivi la vulnerabilità non si manifesta nel prodotto. .. note:: La vulnerabilità è segnalata dai tool di analisi delle dipendenze (es. OWASP dependency-check) a carico degli artefatti ``cxf-core`` e ``cxf-rt-transports-http-jetty``, in quanto l'NVD associa le vulnerabilità di Apache CXF alla CPE di prodotto ``cpe:2.3:a:apache:cxf`` senza distinguere il singolo modulo Maven. Il codice vulnerabile risiede tuttavia nel modulo ``cxf-rt-rs-security-jose-jaxrs``. Ciò premesso, per la linea 3.4.x la libreria viene aggiornata ad una versione non affetta a partire dalla release indicata nella successiva sezione Risoluzione. Versione affette: - 3.3.x: <= 3.3.20 - 3.4.x: <= 3.4.3 Risoluzione: - 3.3.x: - - 3.4.x: prima versione in rilascio