Katalog CVE

CVE-2026-40994

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 14 - wyżej niż 14% wszystkich znanych CVE

Streszczenie

Wss4jSecurityInterceptor nieprawidłowo inicjalizuje flagę zgodności z BSP, co prowadzi do wyłączenia egzekwowania zasad BSP dla RequestData. Usługi, które walidują WS-Security w sieci, mogą akceptować wiadomości naruszające zasady BSP.

Ocena ryzyka

To osłabienie kontroli na poziomie protokołu może prowadzić do akceptacji nieautoryzowanych lub złośliwych wiadomości, co zwiększa ryzyko ataków na usługi sieciowe.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Spring Web Services, aby przywrócić prawidłowe egzekwowanie zasad BSP i zabezpieczyć usługi przed potencjalnymi zagrożeniami.

Oryginalny opis (angielski, źródło NVD)

Wss4jSecurityInterceptor initialized its BSP (WS-I Basic Security Profile) compliance flag so that inbound validation disabled WSS4J BSP enforcement on RequestData. Services that validate WS-Security on the network could therefore accept messages that violate BSP rules, weakening protocol-level checks. Affected versions: Spring Web Services 5.0.0 through 5.0.1; 4.1.0 through 4.1.3; 4.0.0 through 4.0.18; 3.1.0 through 3.1.8.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS