CVE-2025-12383 a race condition (CWE-362) that can cause SSL/TLS settings (mTLS, custom key/trust stores) to be silently ignored under concurrent connection load, enabling certificate bypass / MITM

[Copilot]

Eclipse Jersey 3.1.9 is affected by CVE-2025-12383 (CVSS 9.4) — a race condition (CWE-362) that can cause SSL/TLS settings (mTLS, custom key/trust stores) to be silently ignored under concurrent connection load, enabling certificate bypass / MITM.

Change

Bump org.glassfish.jersey.bundles:jaxrs-ri in root pom.xml <dependencyManagement>:

<!-- before -->
<version>3.1.9</version>

<!-- after -->
<version>3.1.10</version>

Single change covers all inheriting modules (openam-core, openam-federation-library, openam-rest-sts, etc.) via Maven's centralized dependency management.

Original prompt

Problem

The root pom.xml pins Eclipse Jersey (org.glassfish.jersey.bundles:jaxrs-ri) to version 3.1.9, which is affected by CVE-2025-12383 (CVSS 9.4).

CVE-2025-12383 is a race condition (CWE-362) in Eclipse Jersey that can cause SSL/TLS security settings (mutual authentication, custom key/trust stores) to be ignored during concurrent connection creation. This can allow an attacker to bypass certificate validation and perform man-in-the-middle attacks.

Reference: https://nvd.nist.gov/vuln/detail/CVE-2025-12383

Fix

In the root pom.xml, update the Jersey jaxrs-ri dependency version from 3.1.9 to 3.1.10 in the <dependencyManagement> section (around line 1179):

<!-- Before -->
<dependency>
    <groupId>org.glassfish.jersey.bundles</groupId>
    <artifactId>jaxrs-ri</artifactId>
    <version>3.1.9</version>
</dependency>

<!-- After -->
<dependency>
    <groupId>org.glassfish.jersey.bundles</groupId>
    <artifactId>jaxrs-ri</artifactId>
    <version>3.1.10</version>
</dependency>

This single change in the root POM covers all downstream modules (openam-core, openam-federation-library, openam-rest-sts, etc.) since version is managed centrally.

The following is the prior conversation context from the user's chat exploration (may be truncated):

User: предложи исправление CVE-2025-12383

Assistant: Now let me find the current Jersey version used in the project.

Assistant: ## CVE-2025-12383 в OpenAM

Суть проблемы

В корневом pom.xml репозитория OpenIdentityPlatform/OpenAM зафиксирована уязвимая версия Eclipse Jersey 3.1.9:

<dependency>
    <groupId>org.glassfish.jersey.bundles</groupId>
    <artifactId>jaxrs-ri</artifactId>
    <version>3.1.9</version>
</dependency>

CVE-2025-12383 (CVSS 9.4) — race condition в Eclipse Jersey, из-за которой SSL/TLS-настройки (mutual authentication, кастомные keystore/truststore) могут игнорироваться при конкурентном создании соединений. Это позволяет злоумышленнику потенциально обойти проверку сертификатов (MITM-атака).

Исправление

Необходимо обновить версию jaxrs-ri до исправленной версии 3.1.10+ (или ближайшего патча от Eclipse Foundation). В корневом pom.xml замените:

<!-- Было -->
<version>3.1.9</version>

<!-- Стало -->
<version>3.1.10</version>

Эта зависимость используется транзитивно в нескольких модулях:

• openam-core
• openam-federation-library
• openam-rest-sts
• и других

Поскольку версия управляется централизованно в родительском pom.xml через <dependencyManagement>, достаточно изменить одну строку в корневом pom.xml.

Рекомендации

1. Обновите версию Jersey до 3.1.10 (или новее, если доступна)
2. Проверьте Eclipse Foundation advisory для подтверждения точной версии с исправлением
3. После обновления пересоберите и протестируйте все модули, особенно те, что используют исходящие TLS-соединения (OAuth, SAML federation, STS)

Хотите, чтобы я создал Pull Request с этим исправлением?

User: сделай PR

Assistant: Я запустил процесс создания Pull Request в репозитории OpenIdentityPlatform/OpenAM. Coding agent сейчас вносит изменение в корневой pom.xml (обновление версии Jersey с 3.1.9 на 3.1.10) и откроет PR. Вы получите ссылку на готовый PR, как только он будет создан.

This pull request was created from Copilot chat.