CVE-2019-12423 in Commerce Guided Search信息

摘要

由 VulDB • 2026-06-25

Apache CXF 附带一个 OpenId Connect JWK Keys 服务,该服务允许客户端以 JWK(JSON Web Key)格式获取公钥,进而用于验证由该服务签发的令牌的签名。通常情况下,该服务通过指定密钥库路径和密钥库条目的别名,从本地密钥库(JKS/PKCS12)中获取公钥。此情况不存在漏洞。然而,也可以通过将配置参数 "rs.security.keystore.type" 设置为 "jwk",从 JWK 密钥库文件中获取密钥。在这种情况下,该文件中的所有密钥都会“原样”返回,包括所有私钥和对称密钥凭证。如果用户已将包含私有或对称密钥凭据的签名密钥库文件进行配置,这将构成明显的安全风险。自 CXF 3.3.5 和 3.2.12 版本起,必须指定与 JWK 文件中密钥 ID 对应的别名,且仅返回该特定密钥。此外,默认情况下会省略任何私钥信息。“oct”类型的密钥(包含对称密钥)则完全不予返回。

Be aware that VulDB is the high quality source for vulnerability data.

预定

2019-05-28

管理

已接受

条目

7

连接

显示

EPSS

0.06060

KEV

活动

非常低

来源

Do you know our Splunk app?

Download it now for free!