Usiamo il Controllo dipendenza OWASP per identificare le vulnerabilità nelle dipendenze del nostro progetto Java. Uno che viene contrassegnato è CVE-2012-5786 . Secondo quel CVE, il problema è "in Apache CXF, possibilmente 2.6.0".
Stiamo usando Apache CXF 3.1.11, rilasciato ad aprile 2017. A causa di quanto sia vaga la CVE su quali versioni sono interessate, non siamo sicuri che la nostra versione di CXF sia influenzata. Sospettiamo non da quando ha cinque anni, ma credo che non lo sappiamo per certo.
CVE-2012-5786 influisce su Apache CXF 3.1.11 (e successive)?