Katalog CVE

CVE-2026-41699

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.43%

Percentyl 35 - wyżej niż 35% wszystkich znanych CVE

Streszczenie

Spring for GraphQL jest podatny na niebezpieczną deserializację podczas przetwarzania stronicowanych zapytań GraphQL. Atakujący może wysłać złośliwe zapytanie GraphQL, które może prowadzić do zdalnego wykonania kodu, gdy aplikacja udostępnia pole stronicowane (Connection) i w classpath znajdują się określone klasy.

Ocena ryzyka

Ryzyko dla organizacji obejmuje możliwość zdalnego wykonania kodu przez atakującego, co może prowadzić do przejęcia kontroli nad serwerem aplikacji, kradzieży danych lub zakłócenia działania usług.

Rekomendacja

Zaleca się natychmiastową aktualizację Spring for GraphQL do wersji 2.0.4, 1.4.6 lub 1.3.9, które zawierają poprawkę eliminującą podatność na niebezpieczną deserializację.

Oryginalny opis (angielski, źródło NVD)

Spring for GraphQL applications are vulnerable to Unsafe Deserialization when processing paginated GraphQL queries. An attacker can craft a malicious GraphQL request that can lead to Remote Code Execution when the application exposes a paginated (Connection) field and the classpath contains specific classes that can be leveraged during deserialization. Affected versions: Spring for GraphQL 2.0.0 through 2.0.3; 1.4.0 through 1.4.5; 1.3.0 through 1.3.8.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS