CVE-2026-50631
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
12/06/2026
Última modificación:
12/06/2026
Descripción
*** Pendiente de traducción *** A race condition in AbstractOAuthDataProvider allows concurrent requests using the same Refresh Token to bypass single-use semantics and generate multiple valid Access Tokens, when 'recycleRefreshTokens' is set to false. A leaked refresh token can be replayed concurrently by multiple attackers or threads. Users are recommended to upgrade to versions 4.2.2 or 4.1.7, which fixes this issue.
Impacto
Puntuación base 3.x
7.40
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:cxf:*:*:*:*:*:*:*:* | 4.1.7 (excluyendo) | |
| cpe:2.3:a:apache:cxf:*:*:*:*:*:*:*:* | 4.2.0 (incluyendo) | 4.2.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página



