CRITICAL🇬🇧 English

CVE-2026-50628

Apache CXF: błąd logiki w OAuthRequestFilter odwraca weryfikację IP

CVSS 9.8pub. 2026-06-12upd. 2026-07-02

Błąd logiczny w komponencie OAuthRequestFilter w Apache CXF powoduje, że filtr bezpieczeństwa odrzuca żądania z dozwolonego adresu IP, jednocześnie przepuszczając żądania ze wszystkich innych adresów. Włączenie tej funkcji ochronnej daje efekt odwrotny do zamierzonego, umożliwiając nieautoryzowany dostęp z dowolnego miejsca w sieci.

Pokaż oryginał (EN)

A logic error in OAuthRequestFilter rejects legitimate requests originating from the bound IP address, while blindly allowing requests from any other IP address. Enabling this security feature inadvertently creates an inverse security check. Users are recommended to upgrade to versions 4.2.2 or 4.1.7, which fixes this issue.

🤖 Analiza AI
Jak działa

W module OAuthRequestFilter Apache CXF występuje błąd logiki (CWE-20 — nieprawidłowa walidacja danych wejściowych), który odwraca działanie mechanizmu weryfikacji adresu IP. Filtr ma za zadanie ograniczyć dostęp wyłącznie do powiązanego adresu IP, lecz wskutek błędu odrzuca żądania właśnie z tego adresu, a żądania pochodzące z dowolnego innego adresu IP są akceptowane bez ograniczeń. Atakujący zdalny, nieuwierzytelniony użytkownik może w pełni ominąć kontrolę dostępu opartą na adresie IP.

Skutki

Atakujący bez żadnego uwierzytelnienia może uzyskać nieautoryzowany dostęp do zasobów chronionych przez mechanizm filtrowania IP, co prowadzi do naruszenia poufności, integralności oraz dostępności danych i usług.

Mitygacja

Należy zaktualizować Apache CXF do wersji 4.2.2 lub 4.1.7, które zawierają poprawkę dla tego błędu. Do czasu aktualizacji zaleca się wyłączenie funkcji filtrowania IP opartej na OAuthRequestFilter lub zastosowanie zewnętrznych mechanizmów kontroli dostępu (np. na poziomie firewall lub reverse proxy).

Kogo dotyczy

Apache CXF w wersjach poprzedzających 4.2.2 oraz 4.1.7, w konfiguracjach z włączonym OAuthRequestFilter z weryfikacją adresu IP

Uwagi

Podatność została upubliczniona 11 czerwca 2026 roku za pośrednictwem listy dyskusyjnej oss-security. Błąd dotyczy wyłącznie konfiguracji, w których aktywnie wykorzystywana jest funkcja weryfikacji IP w OAuthRequestFilter — jej włączenie paradoksalnie otwiera dostęp dla wszystkich nieautoryzowanych hostów.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Cxf

    APP
    Apache
    < 4.1.74.2.0 – 4.2.2 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-49875CRITICAL9.8PL ✓ten sam produkt

Apache CXF: podatność XXE w EndpointReferenceUtils i W3CMultiSchemaFactory

CVE-2026-50627CRITICAL9.1PL ✓ten sam produkt

Apache CXF: brak weryfikacji pola 'aud' w tokenach JWT (Token Confusion)

CVE-2026-44930CRITICAL9.8ten sam produkt

An LDAP injection vulnerability in the LDAP Certificate repository of the XKMS server in Apache CXF may allow ...

CVE-2025-48913CRITICAL9.8PL ✓ten sam produkt

Apache CXF: RCE przez złośliwe URL w konfiguracji JMS

CVE-2024-29736CRITICAL9.1PL ✓ten sam produkt

SSRF w opisie usług WADL w Apache CXF