CVE-2026-40994
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 - wyżej niż 14% wszystkich znanych CVE
Streszczenie
Wss4jSecurityInterceptor nieprawidłowo inicjalizuje flagę zgodności z BSP, co prowadzi do wyłączenia egzekwowania zasad BSP dla RequestData. Usługi, które walidują WS-Security w sieci, mogą akceptować wiadomości naruszające zasady BSP.
Ocena ryzyka
To osłabienie kontroli na poziomie protokołu może prowadzić do akceptacji nieautoryzowanych lub złośliwych wiadomości, co zwiększa ryzyko ataków na usługi sieciowe.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Spring Web Services, aby przywrócić prawidłowe egzekwowanie zasad BSP i zabezpieczyć usługi przed potencjalnymi zagrożeniami.
Oryginalny opis (angielski, źródło NVD)
Wss4jSecurityInterceptor initialized its BSP (WS-I Basic Security Profile) compliance flag so that inbound validation disabled WSS4J BSP enforcement on RequestData. Services that validate WS-Security on the network could therefore accept messages that violate BSP rules, weakening protocol-level checks. Affected versions: Spring Web Services 5.0.0 through 5.0.1; 4.1.0 through 4.1.3; 4.0.0 through 4.0.18; 3.1.0 through 3.1.8.

