Katalog CVE

CVE-2026-41006

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 19 - wyżej niż 19% wszystkich znanych CVE

Streszczenie

Podatność w Spring HATEOAS polega na tym, że wewnętrzna metoda PropertyUtils.createObjectFromProperties, używana przez deserializatory mediów Collection+JSON i UBER, wykonuje wiązanie właściwości beanów poprzez refleksję, bez uwzględniania adnotacji kontroli dostępu Jacksona.

Ocena ryzyka

Atakujący może zdalnie manipulować nieautoryzowanymi właściwościami obiektów, co może prowadzić do niekontrolowanego dostępu do danych lub eskalacji uprawnień w aplikacji.

Rekomendacja

Należy niezwłocznie zaktualizować Spring HATEOAS do wersji 1.5.7, 2.3.5, 2.4.2, 2.5.3 lub 3.0.4, w zależności od używanej gałęzi.

Oryginalny opis (angielski, źródło NVD)

Spring HATEOAS's internal PropertyUtils.createObjectFromProperties method, used by the Collection+JSON and UBER media type deserializers, performs bean property binding via reflection without consulting Jackson access-control annotations. Affected versions: Spring HATEOAS 1.5.0 through 1.5.6; 2.3.0 through 2.3.4; 2.4.0 through 2.4.1; 2.5.0 through 2.5.2; 3.0.0 through 3.0.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS