CVE-2026-41717
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 25 - wyżej niż 25% wszystkich znanych CVE
Streszczenie
Podatność w Spring Data MongoDB umożliwia wstrzyknięcie wyrażenia SpEL podczas wiązania parametrów w zapytaniach oznaczonych adnotacją @Query z użyciem symbolu wieloznacznego. Atakujący może przekazać złośliwe dane wejściowe, które zostaną zinterpretowane jako wyrażenie SpEL, prowadząc do nieautoryzowanego dostępu lub wykonania kodu.
Ocena ryzyka
Ryzyko obejmuje potencjalne przejęcie kontroli nad aplikacją, wyciek danych lub eskalację uprawnień poprzez zdalne wykonanie kodu na serwerze.
Rekomendacja
Zaleca się natychmiastową aktualizację Spring Data MongoDB do wersji 5.0.6 lub nowszej (dla gałęzi 5.0.x) oraz odpowiednich poprawek dla pozostałych wersji. Należy również unikać używania symboli wieloznacznych w zapytaniach @Query bez odpowiedniej walidacji.
Oryginalny opis (angielski, źródło NVD)
Spring Data MongoDB contains a SpEL (Spring Expression Language) expression injection vulnerability. The issue occurs during parameter binding when a user-defined repository query method is annotated with @Query and utilizes a capture-all placeholder. Affected versions: Spring Data MongoDB 5.0.0 through 5.0.5; 4.5.0 through 4.5.11; 4.4.0 through 4.4.14; 4.3.0 through 4.3.16; 4.2.0 through 4.2.15; 4.1.0 through 4.1.14; 4.0.0 through 4.0.15; 3.4.0 through 3.4.19.

