CVE-2026-41716
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 28 - wyżej niż 28% wszystkich znanych CVE
Streszczenie
Wewnętrzna pamięć podręczna wyszukiwania właściwości w Spring Data akceptuje i trwale przechowuje ciągi znaków dostarczone przez atakującego jako klucze pamięci podręcznej, co umożliwia wyczerpanie sterty poprzez powtarzane żądania.
Ocena ryzyka
Atakujący może wysłać wiele żądań z unikalnymi, spreparowanymi kluczami, powodując niekontrolowany wzrost pamięci podręcznej i wyczerpanie dostępnej pamięci sterty, co prowadzi do odmowy usługi (DoS).
Rekomendacja
Zaleca się natychmiastową aktualizację Spring Data Commons do wersji 2.7.20, 3.3.17, 3.4.15, 3.5.12 lub 4.0.6, w zależności od używanej gałęzi, oraz ograniczenie dostępu do aplikacji tylko dla zaufanych źródeł.
Oryginalny opis (angielski, źródło NVD)
Spring Data's internal property-lookup cache accepts and permanently retains attacker-supplied strings as cache keys, allowing heap exhaustion through repeated requests. Affected versions: Spring Data Commons 2.7.0 through 2.7.19; 3.3.0 through 3.3.16; 3.4.0 through 3.4.14; 3.5.0 through 3.5.11; 4.0.0 through 4.0.5.

