Katalog CVE

CVE-2026-41001

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.09%

Percentyl 1 — wyżej niż 1% wszystkich znanych CVE

Streszczenie

Spring Boot wykorzystuje stałą, statyczną ścieżkę dla katalogu danych wbudowanego brokera wiadomości Artemis, gdy nie skonfigurowano jawnej ścieżki. Lokalny atakujący może stworzyć przewidywalny katalog lub umieścić dowiązanie symboliczne przed uruchomieniem aplikacji.

Ocena ryzyka

Atakujący może uzyskać dostęp do danych brokera wiadomości, co może prowadzić do ujawnienia informacji lub manipulacji danymi. To stwarza poważne zagrożenie dla integralności i poufności danych w aplikacji.

Rekomendacja

Zaleca się skonfigurowanie niestandardowej ścieżki dla katalogu danych brokera Artemis, aby uniknąć wykorzystania domyślnej, statycznej lokalizacji. Regularne przeglądanie i aktualizowanie wersji Spring Boot również pomoże w zabezpieczeniu aplikacji.

Oryginalny opis (angielski, źródło NVD)

Spring Boot's ArtemisEmbeddedConfigurationFactory uses a fixed, static path for the embedded Artemis message broker's data directory when no explicit path is configured. A local attacker on the same host can pre-create this predictable directory or place a symlink before the application starts. Affected versions: Spring Boot 4.0.0 through 4.0.6; 3.5.0 through 3.5.14; 3.4.0 through 3.4.16; 3.3.0 through 3.3.19; 2.7.0 through 2.7.33.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS