CVE-2026-41006
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 - wyżej niż 19% wszystkich znanych CVE
Streszczenie
Podatność w Spring HATEOAS polega na tym, że wewnętrzna metoda PropertyUtils.createObjectFromProperties, używana przez deserializatory mediów Collection+JSON i UBER, wykonuje wiązanie właściwości beanów poprzez refleksję, bez uwzględniania adnotacji kontroli dostępu Jacksona.
Ocena ryzyka
Atakujący może zdalnie manipulować nieautoryzowanymi właściwościami obiektów, co może prowadzić do niekontrolowanego dostępu do danych lub eskalacji uprawnień w aplikacji.
Rekomendacja
Należy niezwłocznie zaktualizować Spring HATEOAS do wersji 1.5.7, 2.3.5, 2.4.2, 2.5.3 lub 3.0.4, w zależności od używanej gałęzi.
Oryginalny opis (angielski, źródło NVD)
Spring HATEOAS's internal PropertyUtils.createObjectFromProperties method, used by the Collection+JSON and UBER media type deserializers, performs bean property binding via reflection without consulting Jackson access-control annotations. Affected versions: Spring HATEOAS 1.5.0 through 1.5.6; 2.3.0 through 2.3.4; 2.4.0 through 2.4.1; 2.5.0 through 2.5.2; 3.0.0 through 3.0.3.

