Katalog CVE

CVE-2026-40992

ŚrednieCVSS 5.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.12%

Percentyl 2 — wyżej niż 2% wszystkich znanych CVE

Streszczenie

Spring Boot nie włącza weryfikacji nazwy hosta w automatycznej konfiguracji poczty. Aplikacje, które ustawią odpowiednią właściwość JavaMail, nie są narażone.

Ocena ryzyka

Brak weryfikacji nazwy hosta może prowadzić do ataków typu man-in-the-middle, co stwarza ryzyko przechwycenia danych przesyłanych przez e-mail.

Rekomendacja

Zaleca się włączenie weryfikacji nazwy hosta poprzez ustawienie właściwości spring.mail.properties.mail.smtp.ssl.checkserveridentity=true w konfiguracji aplikacji.

Oryginalny opis (angielski, źródło NVD)

Spring Boot's Mail auto-configuration does not enable hostname verification. Applications that set the relevant JavaMail property, such as spring.mail.properties.mail.smtp.ssl.checkserveridentity=true, are not affected. Affected versions: Spring Boot 4.0.0 through 4.0.6; 3.5.0 through 3.5.14; 3.4.0 through 3.4.16.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS