CVE-2026-50632, CVE-2026-50633

Data: 2026-06-13

Severity: High

CVSS Score:

  • CVE-2026-50632: 8.1 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)

  • CVE-2026-50633: 8.1 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)

Nota

La severity e i CVSS Score si riferiscono alle vulnerabilità della libreria. Come descritto nella sezione GovWay, le vulnerabilità non si manifestano nel prodotto, poiché risiedono nei moduli cxf-rt-transports-jms e cxf-integration-jca di Apache CXF, non distribuiti da GovWay.

Riferimenti:

Libreria: org.apache.cxf:cxf-rt-transports-jms, org.apache.cxf:cxf-integration-jca (versioni affette: < 4.1.7 e 4.2.0 - 4.2.1)

Descrizione

  1. [CVE-2026-50632] CWE-20: Improper Input Validation

A further incomplete fix for a previous advisory CVE-2026-44417 (Untrusted JMS configuration can lead to RCE) for Apache CXF has been identified, which can allow code execution capabilities, if untrusted users are allowed to configure JMS for Apache CXF. Users are recommended to upgrade to versions 4.2.2 or 4.1.7, which fixes this issue.

  1. [CVE-2026-50633] CWE-20: Improper Input Validation

A JNDI Injection vulnerability has been discovered in Apache CXF’s JCA integration module, which can allow for code execution, if an attacker is able to manipulate the JCA deployment descriptor (ra.xml) or runtime activation parameters. Users are recommended to upgrade to versions 4.2.2 or 4.1.7, which fixes this issue.

GovWay

Le due vulnerabilità abilitano l’esecuzione di codice (RCE) tramite componenti di Apache CXF che non fanno parte della distribuzione di GovWay:

  • CVE-2026-50632 riguarda la configurazione del trasporto JMS di CXF (modulo cxf-rt-transports-jms), non utilizzato da GovWay. Si tratta di un fix incompleto della precedente CVE-2026-44417 (cfr. CVE-2026-44417, CVE-2026-44618, CVE-2026-44930): il fix incluso in Apache CXF 4.2.1 è risultato non risolutivo e la correzione completa è disponibile in Apache CXF 4.2.2/4.1.7;

  • CVE-2026-50633 riguarda il modulo di integrazione JCA di CXF (cxf-integration-jca) e richiede il controllo del descrittore di deployment JCA (ra.xml) o dei parametri di attivazione runtime; tale modulo non è presente in GovWay.

GovWay utilizza esclusivamente il core CXF ed i runtime JAX-WS/JAX-RS su trasporto HTTP: non integra né il trasporto JMS né il modulo di integrazione JCA. Per questi motivi le vulnerabilità non si manifestano nel prodotto.

Nota

Le vulnerabilità sono segnalate dai tool di analisi delle dipendenze (es. OWASP dependency-check) a carico degli artefatti cxf-core e cxf-rt-transports-http-jetty, in quanto l’NVD associa le vulnerabilità di Apache CXF alla CPE di prodotto cpe:2.3:a:apache:cxf senza distinguere il singolo modulo Maven. Il codice vulnerabile risiede tuttavia nei moduli cxf-rt-transports-jms (CVE-2026-50632) e cxf-integration-jca (CVE-2026-50633), non distribuiti da GovWay.

Ciò premesso, per la linea 3.4.x la libreria viene aggiornata ad una versione non affetta a partire dalla release indicata nella successiva sezione Risoluzione.

Versione affette:

  • 3.3.x: <= 3.3.20

  • 3.4.x: <= 3.4.3

Risoluzione:

  • 3.3.x: -

  • 3.4.x: prima versione in rilascio