CVE-2026-50634
Data: 2026-06-13
Severity: Medium
CVSS Score: 6.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N)
Nota
La severity e il CVSS Score si riferiscono alla vulnerabilità della libreria. Come descritto nella sezione GovWay, la vulnerabilità non si manifesta nel prodotto: GovWay non utilizza il filtro JAX-RS JwsJsonContainerRequestFilter di Apache CXF.
Riferimenti:
Libreria: org.apache.cxf:cxf-rt-rs-security-jose-jaxrs (versioni affette: < 4.1.7 e 4.2.0 - 4.2.1)
Descrizione
CWE-347: Improper Verification of Cryptographic Signature
A vulnerability in Apache CXF’s JwsJsonContainerRequestFilter can be exploited to cause CXF to process metadata that was not authenticated by the accepted signature. This can bypass the application’s assumption that accepted `Content-Type` or protected HTTP-header metadata came from a verified signature entry, and may steer downstream JAX-RS entity parsing or signed-header consistency checks. Users are recommended to upgrade to versions 4.2.2 or 4.1.7, which fix this issue.
GovWay
La vulnerabilità risiede nella classe JwsJsonContainerRequestFilter del modulo cxf-rt-rs-security-jose-jaxrs di Apache CXF: si tratta di un filtro JAX-RS auto-wired che valida le firme JWS-JSON sulle richieste in ingresso a livello di container.
Il modulo cxf-rt-rs-security-jose-jaxrs è incluso nella distribuzione di GovWay, ma il prodotto non utilizza tale filtro (né gli altri filtri JAX-RS JOSE auto-wired di CXF, quali JwsContainerRequestFilter, JweJsonContainerRequestFilter, JweContainerRequestFilter): nessuno di essi è registrato come provider JAX-RS. La sicurezza dei messaggi REST basata su JOSE (firma e cifratura JWS/JWE) è realizzata da GovWay utilizzando direttamente l”API JOSE di CXF in modo programmatico (JwsCompactConsumer, JwsJsonConsumer, JweCompactConsumer, JweJsonConsumer e classi correlate), con validazione esplicita della firma effettuata prima dell’elaborazione del contenuto. Il filtro vulnerabile non viene quindi mai istanziato. Per questi motivi la vulnerabilità non si manifesta nel prodotto.
Nota
La vulnerabilità è segnalata dai tool di analisi delle dipendenze (es. OWASP dependency-check) a carico degli artefatti cxf-core e cxf-rt-transports-http-jetty, in quanto l’NVD associa le vulnerabilità di Apache CXF alla CPE di prodotto cpe:2.3:a:apache:cxf senza distinguere il singolo modulo Maven. Il codice vulnerabile risiede tuttavia nel modulo cxf-rt-rs-security-jose-jaxrs.
Ciò premesso, per la linea 3.4.x la libreria viene aggiornata ad una versione non affetta a partire dalla release indicata nella successiva sezione Risoluzione.
Versione affette:
3.3.x: <= 3.3.20
3.4.x: <= 3.4.3
Risoluzione:
3.3.x: -
3.4.x: prima versione in rilascio