CVE-2026-50630
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-113
Neutralización incorrecta de secuencias CRLF en cabeceras HTTP (División de respuesta HTTP)
Fecha de publicación:
12/06/2026
Última modificación:
12/06/2026
Descripción
*** Pendiente de traducción *** A CRLF injection vulnerability exists in the OAuth2 AuthorizationUtils class. When constructing the WWW-Authenticate response header, the 'realm' parameter is concatenated without sanitizing Carriage Return (CR) and Line Feed (LF) characters. If an attacker can control the realm value, they can inject arbitrary HTTP headers or split the HTTP response entirely. Users are recommended to upgrade to versions 4.2.2 or 4.1.7, which fixes this issue.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:cxf:*:*:*:*:*:*:*:* | 4.1.7 (excluyendo) | |
| cpe:2.3:a:apache:cxf:*:*:*:*:*:*:*:* | 4.2.0 (incluyendo) | 4.2.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página



