Katalog CVE

CVE-2026-41729

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 19 - wyżej niż 19% wszystkich znanych CVE

Streszczenie

Spring Data REST jest podatny na wstrzykiwanie wyrażeń SpEL poprzez właściwości typu Map podczas przetwarzania żądań JSON Patch. Klucz mapy jest bezpośrednio osadzany w wyrażeniu SpEL bez sanitizacji lub walidacji.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wykonania nieautoryzowanego kodu, co może prowadzić do naruszenia integralności danych lub ujawnienia informacji.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Spring Data REST, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów walidacji danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

Spring Data REST is vulnerable to SpEL expression injection through map-typed properties when processing JSON Patch (application/json-patch+json) requests. When a persistent entity exposes a Map-typed property, the JSON Pointer path segment used as the map key is embedded directly into a SpEL expression without sanitization or validation. Affected versions: Spring Data REST 3.7.0 through 3.7.19; 4.3.0 through 4.3.16; 4.4.0 through 4.4.14; 4.5.0 through 4.5.11; 5.0.0 through 5.0.5.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS