Katalog CVE

CVE-2026-41716

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.36%

Percentyl 28 - wyżej niż 28% wszystkich znanych CVE

Streszczenie

Wewnętrzna pamięć podręczna wyszukiwania właściwości w Spring Data akceptuje i trwale przechowuje ciągi znaków dostarczone przez atakującego jako klucze pamięci podręcznej, co umożliwia wyczerpanie sterty poprzez powtarzane żądania.

Ocena ryzyka

Atakujący może wysłać wiele żądań z unikalnymi, spreparowanymi kluczami, powodując niekontrolowany wzrost pamięci podręcznej i wyczerpanie dostępnej pamięci sterty, co prowadzi do odmowy usługi (DoS).

Rekomendacja

Zaleca się natychmiastową aktualizację Spring Data Commons do wersji 2.7.20, 3.3.17, 3.4.15, 3.5.12 lub 4.0.6, w zależności od używanej gałęzi, oraz ograniczenie dostępu do aplikacji tylko dla zaufanych źródeł.

Oryginalny opis (angielski, źródło NVD)

Spring Data's internal property-lookup cache accepts and permanently retains attacker-supplied strings as cache keys, allowing heap exhaustion through repeated requests. Affected versions: Spring Data Commons 2.7.0 through 2.7.19; 3.3.0 through 3.3.16; 3.4.0 through 3.4.14; 3.5.0 through 3.5.11; 4.0.0 through 4.0.5.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS