Katalog CVE

CVE-2026-40991

ŚrednieCVSS 5.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 13 - wyżej niż 13% wszystkich znanych CVE

Streszczenie

Podatność w Spring REST Docs umożliwia atak XXE (XML External Entity) podczas dokumentowania zdalnego API przez HTTP. Atakujący może skompromitować API lub nakłonić użytkownika do dokumentowania złośliwego API, co prowadzi do wykonania ataku przy następnym uruchomieniu testów generujących dokumentację.

Ocena ryzyka

Ryzyko obejmuje potencjalny wyciek danych, odczyt plików z serwera lub wykonanie żądań zewnętrznych w kontekście aplikacji, co może prowadzić do naruszenia poufności i integralności systemu.

Rekomendacja

Zaleca się natychmiastową aktualizację Spring REST Docs do wersji 4.0.1 lub nowszej, a w przypadku starszych wersji do odpowiednich poprawek (3.0.6+, 2.0.9+). Należy również unikać dokumentowania niezaufanych API.

Oryginalny opis (angielski, źródło NVD)

When using spring-restdocs-webtestclient or spring-restdocs-restassured to document a remote API accessed over HTTP, an attacker who compromises the API or tricks the user into documenting a malicious API can perform an XXE injection attack when the documentation-generating tests are next executed. Affected versions: Spring REST Docs 4.0.0; 3.0.0 through 3.0.5; 2.0.0.RELEASE through 2.0.8.RELEASE.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS