CVE-2026-41007
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 - wyżej niż 22% wszystkich znanych CVE
Streszczenie
Podatność w Spring HATEOAS polega na nieograniczonym buforowaniu statycznym instancji StringLinkRelation, które są indeksowane za pomocą ciągów znaków dostarczanych przez atakującego. Może to prowadzić do wyczerpania pamięci lub ataku typu DoS.
Ocena ryzyka
Atakujący może wysyłać złośliwe żądania z unikalnymi ciągami znaków, powodując niekontrolowany wzrost rozmiaru pamięci podręcznej, co może doprowadzić do odmowy usługi (DoS) poprzez wyczerpanie dostępnej pamięci.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę Spring HATEOAS do wersji 1.5.7, 2.3.5, 2.4.2, 2.5.3 lub 3.0.4, w zależności od używanej gałęzi. Jeśli aktualizacja nie jest możliwa, rozważ ograniczenie dostępu do aplikacji lub zastosowanie tymczasowych reguł WAF.
Oryginalny opis (angielski, źródło NVD)
Spring HATEOAS maintains an unbounded static cache of StringLinkRelation instances keyed on attacker-supplied strings. Affected versions: Spring HATEOAS 1.5.0 through 1.5.6; 2.3.0 through 2.3.4; 2.4.0 through 2.4.1; 2.5.0 through 2.5.2; 3.0.0 through 3.0.3.

