CVE-2026-40992
ŚrednieCVSS 5.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
Spring Boot nie włącza weryfikacji nazwy hosta w automatycznej konfiguracji poczty. Aplikacje, które ustawią odpowiednią właściwość JavaMail, nie są narażone.
Ocena ryzyka
Brak weryfikacji nazwy hosta może prowadzić do ataków typu man-in-the-middle, co stwarza ryzyko przechwycenia danych przesyłanych przez e-mail.
Rekomendacja
Zaleca się włączenie weryfikacji nazwy hosta poprzez ustawienie właściwości spring.mail.properties.mail.smtp.ssl.checkserveridentity=true w konfiguracji aplikacji.
Oryginalny opis (angielski, źródło NVD)
Spring Boot's Mail auto-configuration does not enable hostname verification. Applications that set the relevant JavaMail property, such as spring.mail.properties.mail.smtp.ssl.checkserveridentity=true, are not affected. Affected versions: Spring Boot 4.0.0 through 4.0.6; 3.5.0 through 3.5.14; 3.4.0 through 3.4.16.

