CVE-2026-50627Критический
CVE
CVE
Национальная база данных уязвимостей США
NVD — репозиторий данных об управлении уязвимостями правительства США, построенный поверх списка CVE от MITRE. Каждая запись содержит утверждения применимости CPE, базовые оценки CVSS v2 и v3.x, сопоставление с CWE и перекрёстные ссылки на бюллетени.
Регион
США
Обновления
15 мин
Лицензия
Общественное достояние
Полный каталог публично раскрытых уязвимостей с привязкой к CPE, оценками CVSS и ссылками на первоисточники. Де-факто стандарт для кросс-вендорной корреляции.
https://nvd.nist.gov →Поделиться ссылкой
Любой, у кого есть ссылка, сможет открыть эту уязвимость.
Класс JwtAccessTokenValidator в Apache CXF не в состоянии подтвердить «aud» (Audience) требования входящих токенов доступа JWT. Это позволя…
CVSS
9.1
Критический
EPSS
0.01
p39
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание
Класс JwtAccessTokenValidator в Apache CXF не в состоянии подтвердить «aud» (Audience) требования входящих токенов доступа JWT. Это позволяет успешно воспроизводить JWT, выдаваемый для одного сервера ресурсов, который будет воспроизводиться на совершенно другой сервер ресурсов, что приводит к атакам Token Confusion/Routing. Пользователям рекомендуется обновиться до версий 4.2.2 или 4.1.7, что устраняет эту проблему.
Теги · CWE
CWE-289
CWE-289БазаНеполный
Обход аутентификации по альтернативному имени
Продукт выполняет аутентификацию на основе имени запрашиваемого ресурса или имени субъекта, осуществляющего доступ, однако не проверяет должным образом все возможные имена этого ресурса или субъекта.
https://cwe.mitre.org/data/definitions/289.html →Открыть в коллекции CWE →Затронутые продукты
Cxf < 4.1.7Cxf 4.2.0–4.2.2
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: H
Высокие (H)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: C
Изменена (C)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
0.005 · p39
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Источники данных
CVE
CVE
Национальная база данных уязвимостей США
NVD — репозиторий данных об управлении уязвимостями правительства США, построенный поверх списка CVE от MITRE. Каждая запись содержит утверждения применимости CPE, базовые оценки CVSS v2 и v3.x, сопоставление с CWE и перекрёстные ссылки на бюллетени.
Регион
США
Обновления
15 мин
Лицензия
Общественное достояние
Полный каталог публично раскрытых уязвимостей с привязкой к CPE, оценками CVSS и ссылками на первоисточники. Де-факто стандарт для кросс-вендорной корреляции.
https://nvd.nist.gov →