CVE-2026-50645

Data: 2026-06-13

Severity: High

CVSS Score: 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

Nota

La severity e il CVSS Score si riferiscono alla vulnerabilità della libreria. Come descritto nella sezione GovWay, la deserializzazione degli allegati in ingresso non transita per il codice vulnerabile di Apache CXF, pertanto la vulnerabilità non si manifesta nel prodotto.

Riferimenti:

Libreria: org.apache.cxf:cxf-core (versioni affette: < 4.1.7 e 4.2.0 - 4.2.1)

Descrizione

CWE-400: Uncontrolled Resource Consumption

There is no restriction on the amount of attachment headers that a message can contain when being deserialized by Apache CXF, which can lead to uncontrolled resource consumption or a denial of service attack. Users are recommended to upgrade to versions 4.2.2 or 4.1.7, which fix this issue by imposing a maximum default of 500 attachments per message.

GovWay

La vulnerabilità risiede nel deserializzatore degli allegati di Apache CXF (org.apache.cxf.attachment.AttachmentDeserializer), nel modulo cxf-core, ed è raggiungibile solo se i messaggi multipart/MTOM in ingresso vengono parsati tramite tale componente.

Sebbene cxf-core faccia parte della distribuzione di GovWay, il prodotto non utilizza il deserializzatore di allegati di CXF per il parsing dei messaggi in ingresso:

  • i messaggi SOAP con allegati (MTOM/SwA) sono parsati dall’implementazione SAAJ (com.sun.xml.messaging.saaj), con il relativo parser MIME interno;

  • i messaggi REST multipart sono parsati tramite Jakarta Mail (jakarta.mail.internet.MimeMultipart).

Le classi org.apache.cxf.attachment.* sono impiegate da GovWay unicamente per operazioni non legate al parsing in ingresso (es. generazione del Content-ID per gli allegati in uscita e adattamento di DataHandler già parsati verso le strutture richieste da WSS4J). Il deserializzatore vulnerabile AttachmentDeserializer non viene quindi mai invocato sul flusso di ricezione dei messaggi. Per questi motivi la vulnerabilità non si manifesta nel prodotto.

Nota

La vulnerabilità è correttamente attribuita all’artefatto cxf-core (oltre che a cxf-rt-transports-http-jetty), in quanto l’NVD associa le vulnerabilità di Apache CXF alla CPE di prodotto cpe:2.3:a:apache:cxf. Pur essendo cxf-core effettivamente distribuito da GovWay, lo specifico percorso di codice vulnerabile (AttachmentDeserializer) non è esercitato dal prodotto.

Ciò premesso, per la linea 3.4.x la libreria viene aggiornata ad una versione non affetta a partire dalla release indicata nella successiva sezione Risoluzione.

Versione affette:

  • 3.3.x: <= 3.3.20

  • 3.4.x: <= 3.4.3

Risoluzione:

  • 3.3.x: -

  • 3.4.x: prima versione in rilascio