Katalog CVE

CVE-2026-41728

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.31%

Percentyl 22 - wyżej niż 22% wszystkich znanych CVE

Streszczenie

Podatność w Spring Data REST dotyczy implementacji JSON Patch (application/json-patch+json), która nie stosuje filtru dostępu do zapisu dla pośrednich segmentów ścieżki podczas rozwiązywania wielosegmentowego wskaźnika JSON Pointer. Oznacza to, że atakujący może ominąć kontrolę dostępu i modyfikować zasoby, do których nie powinien mieć prawa zapisu.

Ocena ryzyka

Ryzyko polega na możliwości nieautoryzowanej modyfikacji danych przez atakującego, który może wykorzystać tę lukę do eskalacji uprawnień lub naruszenia integralności danych w aplikacjach korzystających z Spring Data REST.

Rekomendacja

Zaleca się natychmiastową aktualizację Spring Data REST do wersji 3.7.20, 4.3.17, 4.4.15, 4.5.12 lub 5.0.6, w zależności od używanej linii wydań, które zawierają poprawkę dla tej podatności.

Oryginalny opis (angielski, źródło NVD)

Spring Data REST's JSON Patch (application/json-patch+json) implementation does not apply the write-access filter to intermediate path segments when resolving a multi-segment JSON Pointer. Affected versions: Spring Data REST 3.7.0 through 3.7.19; 4.3.0 through 4.3.16; 4.4.0 through 4.4.14; 4.5.0 through 4.5.11; 5.0.0 through 5.0.5.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS