CVE-2019-12423 in Commerce Guided Searchinformazioni

Riassunto

di VulDB • 11/07/2026

Apache CXF include un servizio di chiavi OpenId Connect JWK (JSON Web Key), che consente a un client di ottenere le chiavi pubbliche in formato JWK, utilizzabili successivamente per verificare la firma dei token emessi dal servizio. Tipicamente, il servizio ottiene la chiave pubblica da un keystore locale (JKS/PKCS12) specificando il percorso del keystore e l'alias della voce nel keystore. Questo caso non è vulnerabile. Tuttavia, è anche possibile ottenere le chiavi da un file di archiviazione JWK impostando il parametro di configurazione "rs.security.keystore.type" su "jwk". In questo scenario, tutte le chiavi presenti in tale file vengono restituite "così come sono", incluse le credenziali delle chiavi private e segrete. Si tratta di un evidente rischio per la sicurezza se l'utente ha configurato il file del keystore della firma con credenziali di chiavi private o segrete. A partire dalle versioni CXF 3.3.5 e 3.2.12, è obbligatorio specificare un alias corrispondente all'id della chiave nel file JWK, e viene restituita solo tale chiave. Inoltre, le informazioni relative alle chiavi private vengono omesse per impostazione predefinita. Le chiavi "oct", che contengono chiavi segrete, non vengono restituite affatto.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Prenotare

28/05/2019

Moderazione

accettato

Voce

7

Collegare

mostrare

CPE

pronto

EPSS

0.06060

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!