CVE-2026-40975
ŚrednieCVSS 4.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 - wyżej niż 23% wszystkich znanych CVE
Streszczenie
W Spring Boot wartości generowane przez ${random.value} nie są bezpieczne do użycia jako sekrety, ponieważ opierają się na słabym generatorze liczb pseudolosowych. ${random.uuid} nie jest podatny, natomiast ${random.int} i ${random.long} również nie powinny być używane do sekretów ze względu na przewidywalny zakres liczbowy.
Ocena ryzyka
Użycie tych właściwości do przechowywania haseł, tokenów lub kluczy może umożliwić atakującemu odtworzenie sekretów, co prowadzi do naruszenia poufności i autoryzacji w aplikacji.
Rekomendacja
Zaktualizuj Spring Boot do wersji z poprawką (4.0.6, 3.5.14, 3.4.16, 3.3.19, 2.7.33) i zastąp ${random.value} bezpiecznym generatorem sekretów, np. java.security.SecureRandom lub dedykowanym menedżerem sekretów.
Oryginalny opis (angielski, źródło NVD)
Values produced by ${random.value} are not suitable for use as secrets. ${random.uuid} is not affected. ${random.int} and ${random.long} should never be used for secrets as they are numeric values with a predictable range. Affected: Spring Boot 4.0.0–4.0.5 (fix 4.0.6), 3.5.0–3.5.13 (fix 3.5.14), 3.4.0–3.4.15 (fix 3.4.16), 3.3.0–3.3.18 (fix 3.3.19), 2.7.0–2.7.32 (fix 2.7.33); random value property source / weak PRNG for secrets. Versions that are no longer supported are also affected per vendor advisory.

