Katalog CVE

CVE-2026-41719

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 - wyżej niż 10% wszystkich znanych CVE

Streszczenie

Podatność SpEL Injection w Spring Data KeyValue występuje, gdy niesanityzowane dane wejściowe użytkownika są przekazywane jako Sort do metody zapytania repozytorium, która deleguje ocenę do SpelPropertyComparator. Atakujący może wstrzyknąć złośliwe wyrażenie SpEL, co prowadzi do zdalnego wykonania kodu.

Ocena ryzyka

Ryzyko dla organizacji obejmuje możliwość zdalnego wykonania kodu przez atakującego, co może prowadzić do przejęcia kontroli nad aplikacją, wycieku danych lub zakłócenia działania systemu.

Rekomendacja

Zaleca się natychmiastową aktualizację Spring Data KeyValue/Spring Data Redis do wersji załatanej (np. 4.0.6 lub nowszej) oraz unikanie przekazywania niesanityzowanych danych wejściowych jako Sort do metod zapytań.

Oryginalny opis (angielski, źródło NVD)

A SpEL Injection vulnerability exists in the Spring Data KeyValue if unsanitized user input is passed as Sort into a repository query method that delegates evaluation to the SpelPropertyComparator. Affected versions: Spring Data KeyValue / Spring Data Redis 4.0.0 through 4.0.5; 3.5.0 through 3.5.11; 3.4.0 through 3.4.14; 3.3.0 through 3.3.16; 3.2.0 through 3.2.15; 3.1.0 through 3.1.14; 3.0.0 through 3.0.15; 2.7.0 through 2.7.19.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS