CVE-2026-41699
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 35 - wyżej niż 35% wszystkich znanych CVE
Streszczenie
Spring for GraphQL jest podatny na niebezpieczną deserializację podczas przetwarzania stronicowanych zapytań GraphQL. Atakujący może wysłać złośliwe zapytanie GraphQL, które może prowadzić do zdalnego wykonania kodu, gdy aplikacja udostępnia pole stronicowane (Connection) i w classpath znajdują się określone klasy.
Ocena ryzyka
Ryzyko dla organizacji obejmuje możliwość zdalnego wykonania kodu przez atakującego, co może prowadzić do przejęcia kontroli nad serwerem aplikacji, kradzieży danych lub zakłócenia działania usług.
Rekomendacja
Zaleca się natychmiastową aktualizację Spring for GraphQL do wersji 2.0.4, 1.4.6 lub 1.3.9, które zawierają poprawkę eliminującą podatność na niebezpieczną deserializację.
Oryginalny opis (angielski, źródło NVD)
Spring for GraphQL applications are vulnerable to Unsafe Deserialization when processing paginated GraphQL queries. An attacker can craft a malicious GraphQL request that can lead to Remote Code Execution when the application exposes a paginated (Connection) field and the classpath contains specific classes that can be leveraged during deserialization. Affected versions: Spring for GraphQL 2.0.0 through 2.0.3; 1.4.0 through 1.4.5; 1.3.0 through 1.3.8.

