CVE-2026-41726
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 21 - wyżej niż 21% wszystkich znanych CVE
Streszczenie
Podatność w Spring for Apache Kafka umożliwia atakującemu producentowi nieograniczone zwiększanie użycia pamięci sterty konsumenta poprzez wysyłanie rekordów z unikalnymi wartościami nagłówka `spring.kafka.serialization.selector`, co prowadzi do przeciążenia garbage collectora i błędu OutOfMemoryError.
Ocena ryzyka
Ryzyko polega na możliwości przeprowadzenia ataku typu Denial of Service (DoS) na aplikację korzystającą z DelegatingDeserializer, co może skutkować niedostępnością usługi.
Rekomendacja
Zaleca się natychmiastową aktualizację Spring for Apache Kafka do wersji 4.0.6, 3.3.16, 3.2.14 lub 2.9.14 (w zależności od używanej gałęzi) oraz unikanie stosowania DelegatingDeserializer w środowiskach produkcyjnych bez dodatkowych zabezpieczeń.
Oryginalny opis (angielski, źródło NVD)
When an application opts into DelegatingDeserializer, a producer can grow the consumer's heap without bound by sending records with unique random spring.kafka.serialization.selector header values, eventually causing GC thrash and OutOfMemoryError. Affected versions: Spring for Apache Kafka 4.0.0 through 4.0.5; 3.3.0 through 3.3.15; 3.2.0 through 3.2.13; 2.9.0 through 2.9.13; 2.8.0 through 2.8.11.

