CVE-2026-41003
WysokieCVSS 7.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 - wyżej niż 10% wszystkich znanych CVE
Streszczenie
Osoba atakująca, która może wpływać na wartości w RelyingPartyRegistration, może uruchomić dowolny kod w formularzach HTML generowanych przez filtry Spring Security.
Ocena ryzyka
Ryzyko polega na możliwości wykonania nieautoryzowanego kodu w przeglądarce ofiary, co może prowadzić do kradzieży danych, przejęcia sesji lub innych ataków typu XSS.
Rekomendacja
Należy niezwłocznie zaktualizować Spring Security do wersji 5.7.24, 5.8.26, 6.3.17, 6.4.17, 6.5.11 lub 7.0.6, w zależności od używanej gałęzi.
Oryginalny opis (angielski, źródło NVD)
An attacker able to influence values in RelyingPartyRegistration may be able to run arbitrary code on HTML forms generated by Spring Security filters. Affected versions: Spring Security 5.7.0 through 5.7.23; 5.8.0 through 5.8.25; 6.3.0 through 6.3.16; 6.4.0 through 6.4.16; 6.5.0 through 6.5.10; 7.0.0 through 7.0.5.

