Błąd logiczny w komponencie OAuthRequestFilter w Apache CXF powoduje, że filtr bezpieczeństwa odrzuca żądania z dozwolonego adresu IP, jednocześnie przepuszczając żądania ze wszystkich innych adresów. Włączenie tej funkcji ochronnej daje efekt odwrotny do zamierzonego, umożliwiając nieautoryzowany dostęp z dowolnego miejsca w sieci.
▸ Pokaż oryginał (EN)
A logic error in OAuthRequestFilter rejects legitimate requests originating from the bound IP address, while blindly allowing requests from any other IP address. Enabling this security feature inadvertently creates an inverse security check. Users are recommended to upgrade to versions 4.2.2 or 4.1.7, which fixes this issue.
W module OAuthRequestFilter Apache CXF występuje błąd logiki (CWE-20 — nieprawidłowa walidacja danych wejściowych), który odwraca działanie mechanizmu weryfikacji adresu IP. Filtr ma za zadanie ograniczyć dostęp wyłącznie do powiązanego adresu IP, lecz wskutek błędu odrzuca żądania właśnie z tego adresu, a żądania pochodzące z dowolnego innego adresu IP są akceptowane bez ograniczeń. Atakujący zdalny, nieuwierzytelniony użytkownik może w pełni ominąć kontrolę dostępu opartą na adresie IP.
Atakujący bez żadnego uwierzytelnienia może uzyskać nieautoryzowany dostęp do zasobów chronionych przez mechanizm filtrowania IP, co prowadzi do naruszenia poufności, integralności oraz dostępności danych i usług.
Należy zaktualizować Apache CXF do wersji 4.2.2 lub 4.1.7, które zawierają poprawkę dla tego błędu. Do czasu aktualizacji zaleca się wyłączenie funkcji filtrowania IP opartej na OAuthRequestFilter lub zastosowanie zewnętrznych mechanizmów kontroli dostępu (np. na poziomie firewall lub reverse proxy).
Apache CXF w wersjach poprzedzających 4.2.2 oraz 4.1.7, w konfiguracjach z włączonym OAuthRequestFilter z weryfikacją adresu IP
Podatność została upubliczniona 11 czerwca 2026 roku za pośrednictwem listy dyskusyjnej oss-security. Błąd dotyczy wyłącznie konfiguracji, w których aktywnie wykorzystywana jest funkcja weryfikacji IP w OAuthRequestFilter — jej włączenie paradoksalnie otwiera dostęp dla wszystkich nieautoryzowanych hostów.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Cxf
APPApache< 4.1.74.2.0 – 4.2.2 (bez)
Powiązane podatności
Apache CXF: podatność XXE w EndpointReferenceUtils i W3CMultiSchemaFactory
Apache CXF: brak weryfikacji pola 'aud' w tokenach JWT (Token Confusion)
An LDAP injection vulnerability in the LDAP Certificate repository of the XKMS server in Apache CXF may allow ...
Apache CXF: RCE przez złośliwe URL w konfiguracji JMS
SSRF w opisie usług WADL w Apache CXF