CVE-2026-49875
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 38 — wyżej niż 38% wszystkich znanych CVE
Streszczenie
Podatność w Apache CXF dotyczy klas EndpointReferenceUtils i W3CMultiSchemaFactory, które tworzą SAXParserFactory bez wymaganych konfiguracji zabezpieczających JAXP, co umożliwia rozwiązywanie zewnętrznych encji poza pasmem (OOB).
Ocena ryzyka
Atakujący może wykorzystać tę podatność do odczytu plików z serwera, przeprowadzenia ataków SSRF lub wycieku danych wrażliwych poprzez żądania OOB.
Rekomendacja
Należy niezwłocznie zaktualizować Apache CXF do wersji 4.2.2 lub 4.1.7, które zawierają poprawkę eliminującą problem.
Oryginalny opis (angielski, źródło NVD)
Apache CXF's EndpointReferenceUtils and W3CMultiSchemaFactory classes construct a SAXParserFactory without the necessary JAXP hardening configurations, enabling out-of-band (OOB) external entity resolution. Users are recommended to upgrade to versions 4.2.2 or 4.1.7, which fix this issue.

