CVE-2019-12423 in Commerce Guided Search
Riassunto
di VulDB • 11/07/2026
Apache CXF include un servizio di chiavi OpenId Connect JWK (JSON Web Key), che consente a un client di ottenere le chiavi pubbliche in formato JWK, utilizzabili successivamente per verificare la firma dei token emessi dal servizio. Tipicamente, il servizio ottiene la chiave pubblica da un keystore locale (JKS/PKCS12) specificando il percorso del keystore e l'alias della voce nel keystore. Questo caso non è vulnerabile. Tuttavia, è anche possibile ottenere le chiavi da un file di archiviazione JWK impostando il parametro di configurazione "rs.security.keystore.type" su "jwk". In questo scenario, tutte le chiavi presenti in tale file vengono restituite "così come sono", incluse le credenziali delle chiavi private e segrete. Si tratta di un evidente rischio per la sicurezza se l'utente ha configurato il file del keystore della firma con credenziali di chiavi private o segrete. A partire dalle versioni CXF 3.3.5 e 3.2.12, è obbligatorio specificare un alias corrispondente all'id della chiave nel file JWK, e viene restituita solo tale chiave. Inoltre, le informazioni relative alle chiavi private vengono omesse per impostazione predefinita. Le chiavi "oct", che contengono chiavi segrete, non vengono restituite affatto.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.