Katalog CVE

CVE-2026-41697

ŚrednieCVSS 4.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 13 - wyżej niż 13% wszystkich znanych CVE

Streszczenie

Podatność w Spring Data Relational polega na nieprawidłowym kodowaniu wartości wiążących dla zewnętrznie kontrolowanych danych wejściowych podczas używania StringMatcher (STARTING, ENDING lub CONTAINING) w Query By Example (QBE). Atakujący może dostarczyć znaki wieloznaczne, aby przeprowadzić ślepe wnioskowanie danych w oparciu o boolean.

Ocena ryzyka

Ryzyko polega na możliwości wycieku wrażliwych danych poprzez atak typu blind boolean-based inference, co może prowadzić do naruszenia poufności informacji przechowywanych w bazie danych.

Rekomendacja

Zaleca się natychmiastową aktualizację Spring Data Relational/JDBC/R2DBC do wersji 4.0.6, 3.5.12, 3.4.15, 3.3.17, 3.2.16, 3.1.15, 3.0.16 lub 2.4.20, w zależności od używanej linii wydań.

Oryginalny opis (angielski, źródło NVD)

Spring Data Relational does not properly escape binding values of externally-controlled input when using StringMatcher (STARTING, ENDING, or CONTAINING) in Query By Example (QBE). An attacker can supply wildcard characters to perform boolean-based blind data inference. Affected versions: Spring Data Relational/JDBC/R2DBC 4.0.0 through 4.0.5; 3.5.0 through 3.5.11; 3.4.0 through 3.4.14; 3.3.0 through 3.3.16; 3.2.0 through 3.2.15; 3.1.0 through 3.1.14; 3.0.0 through 3.0.15; 2.4.0 through 2.4.19.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS