Katalog CVE

CVE-2026-40995

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 4 — wyżej niż 4% wszystkich znanych CVE

Streszczenie

X509AuthenticationProvider może wydawać w pełni uwierzytelniony X509AuthenticationToken dla certyfikatu powiązanego z UserDetails, nie stosując standardowych kontroli cyklu życia konta w Spring Security.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowany dostęp, ponieważ konta mogą być aktywne mimo, że są zablokowane, wygasłe lub mają wygasłe poświadczenia.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Spring Web Services, aby zapewnić prawidłowe stosowanie kontroli cyklu życia konta.

Oryginalny opis (angielski, źródło NVD)

X509AuthenticationProvider could issue a fully authenticated X509AuthenticationToken when a presented certificate mapped to UserDetails, without applying Spring Security's standard account lifecycle checks (disabled, locked, expired, or credentials-expired accounts). Affected versions: Spring Web Services 5.0.0 through 5.0.1; 4.1.0 through 4.1.3; 4.0.0 through 4.0.18; 3.1.0 through 3.1.8.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS