CVE-2026-53914
Data: 2026-07-01
Severity: Critical
CVSS Score: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RC:R/MAV:A)
Riferimenti: - https://nvd.nist.gov/vuln/detail/CVE-2026-53914
Libreria: org.jetbrains.kotlin:kotlin-stdlib
Descrizione
In JetBrains Kotlin before 2.4.20 code execution was possible via unsafe deserialization in the build cache metadata.
Falso Positivo per GovWay
La vulnerabilità “CVE-2026-53914” riguarda il tooling di build di Kotlin: la deserializzazione insicura interessa i metadati della build cache utilizzati durante la compilazione incrementale. Tale logica risiede negli artefatti di build di Kotlin (compilatore, build-tools, plugin Gradle/Maven) e non nella libreria standard a runtime “kotlin-stdlib”, che non gestisce né deserializza metadati di build cache. Coerentemente, il vettore d’attacco documentato dal vendor (JetBrains) è locale, in ambiente di build e con privilegi elevati (CVSS 6.7), quindi non sfruttabile su un’applicazione in esecuzione.
In GovWay la libreria “kotlin-stdlib” è utilizzata unicamente come dipendenza a runtime della libreria json-sKema (validazione OpenAPI/JSON Schema); GovWay non compila codice Kotlin e non utilizza la build cache di Kotlin. Si tratta quindi di un falso positivo.
Configuration File: false-positive.xml