CVE-2026-41837
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 - wyżej niż 9% wszystkich znanych CVE
Streszczenie
Podatność w Spring Data REST pozwala atakującemu na przekazywanie dowolnych ścieżek właściwości trwałych jako kluczy filtrów w parametrach żądania, bez uwzględniania konfiguracji Jacksona przed przekazaniem ich do Querydsl. Może to prowadzić do nieautoryzowanego dostępu do danych lub ich wycieku.
Ocena ryzyka
Organizacja narażona jest na ryzyko ujawnienia wrażliwych danych poprzez manipulację parametrami zapytań REST, co może skutkować naruszeniem poufności i integralności danych.
Rekomendacja
Należy niezwłocznie zaktualizować Spring Data REST do wersji 3.7.20, 4.3.17, 4.4.15, 4.5.12 lub 5.0.6, w zależności od używanej gałęzi, oraz zweryfikować konfigurację Jacksona pod kątem niestandardowych filtrów.
Oryginalny opis (angielski, źródło NVD)
Spring Data REST's Querydsl integration accepts arbitrary persistent property paths as request-parameter filter keys and does not consider Jackson customizations before handing them to Querydsl. Affected versions: Spring Data REST 3.7.0 through 3.7.19; 4.3.0 through 4.3.16; 4.4.0 through 4.4.14; 4.5.0 through 4.5.11; 5.0.0 through 5.0.5.

