CVE-2026-40987
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 - wyżej niż 11% wszystkich znanych CVE
Streszczenie
Złośliwy lub skompromitowany serwer FTP/SFTP/SMB może zapisywać dowolne pliki w systemie plików klienta (poza skonfigurowanym lokalnym katalogiem) z treścią kontrolowaną przez atakującego.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowane modyfikacje danych oraz potencjalne wycieki informacji, co może prowadzić do poważnych konsekwencji prawnych i finansowych.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Spring Integration oraz wdrożenie odpowiednich zabezpieczeń na serwerach FTP/SFTP/SMB, aby ograniczyć ryzyko ataków.
Oryginalny opis (angielski, źródło NVD)
A malicious or compromised FTP/SFTP/SMB server can write arbitrary files anywhere on the client filesystem (outside the configured local-directory) with attacker-controlled content. Affected versions: Spring Integration 7.0.0 through 7.0.4; 6.5.0 through 6.5.8; 6.4.0 through 6.4.11; 6.3.0 through 6.3.14; 5.5.0 through 5.5.20.

