Uma vulnerabilidade de injeção LDAP no Apache CXF pode permitir que invasores recuperem certificados digitais arbitrários de sistemas vulneráveis. A falha é rastreada como CVE-2026-44930 e afeta o componente de repositório de certificados baseado em LDAP usado em serviços XKMS.
O Apache CXF é utilizado por empresas para construir serviços web e gerenciar componentes de segurança, incluindo armazenamento e consulta de certificados. Por isso, a falha exige atenção em ambientes que usam XKMS para apoiar processos de autenticação e confiança digital.
O problema está na validação insuficiente de entradas fornecidas pelo usuário em consultas LDAP. Um invasor pode manipular filtros de busca e forçar o sistema a retornar certificados fora do escopo previsto de acesso.
Embora a vulnerabilidade não permita execução remota de código diretamente, o impacto pode ser relevante. Certificados obtidos indevidamente podem facilitar impersonação, interceptação de comunicações criptografadas ou novas etapas de movimentação dentro de redes corporativas.
As versões afetadas incluem Apache CXF 4.2.0 antes da 4.2.1, versões 4.0.0 até 4.1.5 e todas as versões anteriores à 3.6.11. Ambientes de produção com endpoints XKMS expostos ou integrados a diretórios LDAP correm risco maior.
As correções foram disponibilizadas nas versões 4.2.1, 4.1.6 e 3.6.11. As atualizações adicionam validações mais seguras para impedir que entradas maliciosas modifiquem a lógica das consultas LDAP.
