CVE-2026-41728
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 - wyżej niż 22% wszystkich znanych CVE
Streszczenie
Podatność w Spring Data REST dotyczy implementacji JSON Patch (application/json-patch+json), która nie stosuje filtru dostępu do zapisu dla pośrednich segmentów ścieżki podczas rozwiązywania wielosegmentowego wskaźnika JSON Pointer. Oznacza to, że atakujący może ominąć kontrolę dostępu i modyfikować zasoby, do których nie powinien mieć prawa zapisu.
Ocena ryzyka
Ryzyko polega na możliwości nieautoryzowanej modyfikacji danych przez atakującego, który może wykorzystać tę lukę do eskalacji uprawnień lub naruszenia integralności danych w aplikacjach korzystających z Spring Data REST.
Rekomendacja
Zaleca się natychmiastową aktualizację Spring Data REST do wersji 3.7.20, 4.3.17, 4.4.15, 4.5.12 lub 5.0.6, w zależności od używanej linii wydań, które zawierają poprawkę dla tej podatności.
Oryginalny opis (angielski, źródło NVD)
Spring Data REST's JSON Patch (application/json-patch+json) implementation does not apply the write-access filter to intermediate path segments when resolving a multi-segment JSON Pointer. Affected versions: Spring Data REST 3.7.0 through 3.7.19; 4.3.0 through 4.3.16; 4.4.0 through 4.4.14; 4.5.0 through 4.5.11; 5.0.0 through 5.0.5.

