Utilizamos Comprobación de dependencia de OWASP para identificar vulnerabilidades en las dependencias de nuestro proyecto Java. Uno que está siendo marcado es CVE-2012-5786 . Según ese CVE, el problema es "en Apache CXF, posiblemente 2.6.0".
Estamos utilizando Apache CXF 3.1.11, lanzado en abril de 2017. Debido a lo vago que es el CVE sobre qué versiones están afectadas, no estamos seguros de si nuestra versión de CXF está afectada. Sospechamos que no, ya que tiene cinco años, pero supongo que no lo sabemos con seguridad.
¿CVE-2012-5786 afecta a Apache CXF 3.1.11 (y posterior)?