.. _vulnerabilityManagement_securityAdvisory_2026_CVE-2026-50645: CVE-2026-50645 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Data: 2026-06-13 Severity: High CVSS Score: 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) .. note:: La severity e il CVSS Score si riferiscono alla vulnerabilità della libreria. Come descritto nella sezione **GovWay**, la deserializzazione degli allegati in ingresso non transita per il codice vulnerabile di Apache CXF, pertanto la vulnerabilità non si manifesta nel prodotto. Riferimenti: - `https://nvd.nist.gov/vuln/detail/CVE-2026-50645 `_ - `https://cxf.apache.org/security-advisories.data/CVE-2026-50645.txt `_ Libreria: org.apache.cxf:cxf-core (versioni affette: < 4.1.7 e 4.2.0 - 4.2.1) **Descrizione** CWE-400: Uncontrolled Resource Consumption There is no restriction on the amount of attachment headers that a message can contain when being deserialized by Apache CXF, which can lead to uncontrolled resource consumption or a denial of service attack. Users are recommended to upgrade to versions 4.2.2 or 4.1.7, which fix this issue by imposing a maximum default of 500 attachments per message. **GovWay** La vulnerabilità risiede nel deserializzatore degli allegati di Apache CXF (``org.apache.cxf.attachment.AttachmentDeserializer``), nel modulo ``cxf-core``, ed è raggiungibile solo se i messaggi *multipart*/MTOM in ingresso vengono parsati tramite tale componente. Sebbene ``cxf-core`` faccia parte della distribuzione di GovWay, il prodotto **non utilizza** il deserializzatore di allegati di CXF per il parsing dei messaggi in ingresso: - i messaggi SOAP con allegati (MTOM/SwA) sono parsati dall'implementazione SAAJ (``com.sun.xml.messaging.saaj``), con il relativo parser MIME interno; - i messaggi REST *multipart* sono parsati tramite Jakarta Mail (``jakarta.mail.internet.MimeMultipart``). Le classi ``org.apache.cxf.attachment.*`` sono impiegate da GovWay unicamente per operazioni non legate al parsing in ingresso (es. generazione del Content-ID per gli allegati in uscita e adattamento di ``DataHandler`` già parsati verso le strutture richieste da WSS4J). Il deserializzatore vulnerabile ``AttachmentDeserializer`` non viene quindi mai invocato sul flusso di ricezione dei messaggi. Per questi motivi la vulnerabilità non si manifesta nel prodotto. .. note:: La vulnerabilità è correttamente attribuita all'artefatto ``cxf-core`` (oltre che a ``cxf-rt-transports-http-jetty``), in quanto l'NVD associa le vulnerabilità di Apache CXF alla CPE di prodotto ``cpe:2.3:a:apache:cxf``. Pur essendo ``cxf-core`` effettivamente distribuito da GovWay, lo specifico percorso di codice vulnerabile (``AttachmentDeserializer``) non è esercitato dal prodotto. Ciò premesso, per la linea 3.4.x la libreria viene aggiornata ad una versione non affetta a partire dalla release indicata nella successiva sezione Risoluzione. Versione affette: - 3.3.x: <= 3.3.20 - 3.4.x: <= 3.4.3 Risoluzione: - 3.3.x: - - 3.4.x: prima versione in rilascio