CVE-2026-50623
ŚrednieCVSS 4.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 40 — wyżej niż 40% wszystkich znanych CVE
Streszczenie
W Apache CXF występuje podatność na obejście uwierzytelniania w usłudze TokenIntrospectionService OAuth2. Z powodu braku słowa kluczowego 'throw' w sprawdzeniu kontekstu bezpieczeństwa, punkt końcowy introspekcji (/services/oauth2/introspect) może być dostępny dla każdego nieautoryzowanego atakującego w sieci.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowany dostęp do danych, jeśli uwierzytelnianie nie zostało włączone na usłudze. To może prowadzić do wycieku informacji lub innych poważnych incydentów bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację do wersji 4.2.2 lub 4.1.7, które naprawiają tę podatność. Upewnij się również, że uwierzytelnianie jest włączone na wszystkich usługach.
Oryginalny opis (angielski, źródło NVD)
An authentication bypass vulnerability exists in the OAuth2 TokenIntrospectionService in Apache CXF. Due to a missing 'throw' keyword in the security context check, the introspection endpoint (/services/oauth2/introspect) can be accessed by any unauthenticated network attacker. However note that this is a safeguard only in the case that someone forgot to enable authentication on the service. Users are recommended to upgrade to version 4.2.2 or 4.1.7, which fixes this issue.

