CVE-2026-41008
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 - wyżej niż 7% wszystkich znanych CVE
Streszczenie
Podatność w Spring Security Authorization Server wynika z niewystarczającej walidacji parametru request_uri w punkcie końcowym autoryzacji. Atakujący może wysłać złośliwe żądanie autoryzacyjne z nieprawidłowym request_uri i dowolnym, niezweryfikowanym redirect_uri, co prowadzi do podatności na otwarte przekierowanie (Open Redirect).
Ocena ryzyka
Ryzyko polega na możliwości przekierowania użytkownika na złośliwą stronę, co może być wykorzystane do kradzieży danych uwierzytelniających lub przeprowadzenia ataku phishingowego.
Rekomendacja
Zaleca się natychmiastową aktualizację Spring Security do wersji 7.0.6 lub nowszej, a Spring Authorization Server do wersji 1.5.8 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy zaimplementować dodatkową walidację parametru redirect_uri po stronie serwera.
Oryginalny opis (angielski, źródło NVD)
Spring Security Authorization Server's authorization endpoint performs insufficient validation of the request_uri parameter. An attacker can craft a malicious authorization request containing an invalid request_uri and an arbitrary, unvalidated redirect_uri, which can lead to an Open Redirect vulnerability. Affected versions: Spring Security 7.0.0 through 7.0.5. Spring Authorization Server 1.5.0 through 1.5.7.

