Katalog CVE

CVE-2026-41007

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 22 - wyżej niż 22% wszystkich znanych CVE

Streszczenie

Podatność w Spring HATEOAS polega na nieograniczonym buforowaniu statycznym instancji StringLinkRelation, które są indeksowane za pomocą ciągów znaków dostarczanych przez atakującego. Może to prowadzić do wyczerpania pamięci lub ataku typu DoS.

Ocena ryzyka

Atakujący może wysyłać złośliwe żądania z unikalnymi ciągami znaków, powodując niekontrolowany wzrost rozmiaru pamięci podręcznej, co może doprowadzić do odmowy usługi (DoS) poprzez wyczerpanie dostępnej pamięci.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę Spring HATEOAS do wersji 1.5.7, 2.3.5, 2.4.2, 2.5.3 lub 3.0.4, w zależności od używanej gałęzi. Jeśli aktualizacja nie jest możliwa, rozważ ograniczenie dostępu do aplikacji lub zastosowanie tymczasowych reguł WAF.

Oryginalny opis (angielski, źródło NVD)

Spring HATEOAS maintains an unbounded static cache of StringLinkRelation instances keyed on attacker-supplied strings. Affected versions: Spring HATEOAS 1.5.0 through 1.5.6; 2.3.0 through 2.3.4; 2.4.0 through 2.4.1; 2.5.0 through 2.5.2; 3.0.0 through 3.0.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS