by
ddos
·
Apache CXFを直撃する重大な脆弱性群
Apache CXFプロジェクトは、広く利用されているJavaウェブサービスコンポーネントに影響する5件の新たな脆弱性を公開しました。Apache CXFのセキュリティチームは、いずれの問題も「重要」と評価しています。これらの脆弱性は、JSON署名検証、JNDIデプロイメントディスクリプター、OAuth2アクセス制御、XMLパースにまたがるものです。
Apache CXFのバージョン4.2.2より前、または旧ブランチでは4.1.7より前のバージョンを使用している組織は、自社のデプロイメント環境を早急に確認することが求められます。影響を受けるモジュールには、cxf-rt-rs-security-jose-jaxrs、cxf-integration-jca、cxf-rt-rs-security-oauth2、cxf-coreが含まれます。
署名およびヘッダーの信頼性問題(CVE-2026-50634)
最初の脆弱性は、JwsJsonContainerRequestFilterコンポーネントに関するものです。このフィルターは、受け入れた署名によって検証されていないメタデータを処理してしまう可能性があります。その結果、攻撃者が制御するContent-Typeや保護ヘッダーをアプリケーションが信頼してしまう恐れがあります。これにより、JAX-RSの下流にあるパースロジックが未認証のデータによって誤った動作を引き起こすおそれがあります。
JCAモジュールにおけるJNDIインジェクション(CVE-2026-50633)
次に、JCA統合モジュールにJNDIインジェクションの脆弱性が存在します。攻撃者がra.xmlデプロイメントディスクリプターや実行時アクティベーションパラメーターを操作した場合、リモートコード実行につながる可能性があります。CXF経由でメッセージ駆動型Beanを使用しているチームは、この修正を優先課題として対処する必要があります。
OAuth2のIPバインディングおよびトークン検証の脆弱性(CVE-2026-50628、CVE-2026-50627)
また、2件のOAuth2に関する問題がリスクをさらに複合的に高めています。まず、OAuthRequestFilterにおけるIPバインディングチェックのロジックが反転しており、正当なリクエストを拒否する一方で、バインドされていないアドレスからのリクエストを許可してしまいます。次に、JwtAccessTokenValidatorが受信トークンのaudienceおよびissuerクレームを検証しません。このギャップにより、あるリソースサーバー向けに発行されたトークンを別のサーバーに対して再使用する、トークン混同攻撃が可能となります。
コアパースユーティリティにおけるXXEリスク(CVE-2026-49875)
さらに、EndpointReferenceUtilsとW3CMultiSchemaFactoryは、適切なJAXPハードニングを施さずにSAXParserFactoryインスタンスを生成します。このギャップにより、アウトオブバンドのXML外部エンティティ解決が可能となります。攻撃者はデータを窃取したり、内部システムへのリクエストをトリガーしたりできる可能性があります。
修正対応ガイダンス
5件すべての問題に対する修正方法は共通しています。Apache CXFをバージョン4.2.2(旧ラインを使用している場合は4.1.7)にアップグレードしてください。影響を受けるモジュールの範囲が広いことから、依存関係の全面的な監査を強く推奨します。
管理者の方は、Apache CXFセキュリティアドバイザリの公式ページを参照することで、技術的なガイダンスやアドバイザリの詳細を確認できます。これらのアップデートを常に最新の状態に保つことが、悪用に対する最善の防衛策です。
まとめ
今回の5件の脆弱性は、多層的なセキュリティコントロールがいかに微妙な形で機能不全に陥りうるかを示すものです。Apache CXFのユーザーは、影響を受けるモジュールを早急にパッチ適用すべきです。定期的な依存関係のレビューを実施することで、攻撃者に発見される前に同様のギャップを把握できます。
翻訳元: https://meterpreter.org/apache-cxf-multiple-cves-2026/
