CVE-2019-12423

**Nome do software vulnerável e versões afetadas:

Versões do Apache CXF anteriores à 3.2.12

Versões do Apache CXF anteriores à 3.3.5

Descrição:

O problema está relacionado ao serviço OpenId Connect JWK Keys no Apache CXF, que pode retornar credenciais de chave privada e chave secreta se o usuário tiver configurado o arquivo de armazenamento de chaves de assinatura com tais credenciais. Isso representa um risco significativo à segurança. O serviço normalmente obtém a chave pública de um keystore local, mas também pode obter chaves de um arquivo de keystore JWK definindo o parâmetro rs.security.keystore.type como jwk.

Recomendações:

Para versões anteriores à 3.2.12, atualize para a versão 3.2.12 ou posterior para garantir que apenas a chave especificada seja retornada e que as informações da chave privada sejam omitidas por padrão.

Para versões anteriores à 3.3.5, atualize para a versão 3.3.5 ou posterior para garantir que apenas a chave especificada seja retornada e que as informações da chave privada sejam omitidas por padrão.

Como solução alternativa temporária, considere desativar o uso de arquivos de armazenamento de chaves JWK ou restringir o acesso ao parâmetro de configuração rs.security.keystore.type para minimizar o risco de exploração.