CVE-2026-41727
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 - wyżej niż 15% wszystkich znanych CVE
Streszczenie
Podatność w Spring Kafka dotyczy mechanizmu infrastruktury tematów ponownych prób (retry topic), który nie walidował dostatecznie wartości nagłówków kontrolowanych przez użytkownika. Producent mógł wysłać rekord z spreparowanym nagłówkiem retry_topic-attempts, zawierającym nieprawidłową liczbę prób, co powodowało błędne określenie pozycji wiadomości w sekwencji ponownych prób przez router tematów.
Ocena ryzyka
Ryzyko polega na możliwości manipulacji logiką ponownych prób, co może prowadzić do pomijania lub błędnego kierowania wiadomości, potencjalnie zakłócając działanie systemów opartych na Spring Kafka i powodując utratę lub opóźnienia w przetwarzaniu danych.
Rekomendacja
Zaleca się natychmiastową aktualizację Spring for Apache Kafka do wersji 4.0.6, 3.3.16, 3.2.14, 2.9.14 lub 2.8.12, w zależności od używanej gałęzi, oraz wdrożenie walidacji nagłówków we własnym kodzie jako dodatkowego zabezpieczenia.
Oryginalny opis (angielski, źródło NVD)
Spring Kafka's retry topic infrastructure did not sufficiently validate user-controlled header values before acting on them. A producer could send a record with a crafted retry_topic-attempts header to supply an out-of-range attempt count and cause the retry topic router to misidentify where the message was in the retry sequence. Affected versions: Spring for Apache Kafka 4.0.0 through 4.0.5; 3.3.0 through 3.3.15; 3.2.0 through 3.2.13; 2.9.0 through 2.9.13; 2.8.0 through 2.8.11.

