CVE-2026-50634
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 — wyżej niż 12% wszystkich znanych CVE
Streszczenie
Podatność w filtrze JwsJsonContainerRequestFilter Apache CXF pozwala na przetwarzanie metadanych, które nie zostały uwierzytelnione przez akceptowany podpis. Może to prowadzić do ominięcia założeń aplikacji dotyczących metadanych `Content-Type` lub chronionych nagłówków HTTP.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowane przetwarzanie danych, co może prowadzić do nieprawidłowego działania aplikacji oraz potencjalnych luk w bezpieczeństwie.
Rekomendacja
Zaleca się aktualizację do wersji 4.2.2 lub 4.1.7, które naprawiają tę podatność.
Oryginalny opis (angielski, źródło NVD)
A vulnerability in Apache CXF's JwsJsonContainerRequestFilter can be exploited to cause CXF to process metadata that was not authenticated by the accepted signature. This can bypass the application's assumption that accepted `Content-Type` or protected HTTP-header metadata came from a verified signature entry, and may steer downstream JAX-RS entity parsing or signed-header consistency checks. Users are recommended to upgrade to versions 4.2.2 or 4.1.7, which fix this issue.

