Katalog CVE

CVE-2026-41837

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 9 - wyżej niż 9% wszystkich znanych CVE

Streszczenie

Podatność w Spring Data REST pozwala atakującemu na przekazywanie dowolnych ścieżek właściwości trwałych jako kluczy filtrów w parametrach żądania, bez uwzględniania konfiguracji Jacksona przed przekazaniem ich do Querydsl. Może to prowadzić do nieautoryzowanego dostępu do danych lub ich wycieku.

Ocena ryzyka

Organizacja narażona jest na ryzyko ujawnienia wrażliwych danych poprzez manipulację parametrami zapytań REST, co może skutkować naruszeniem poufności i integralności danych.

Rekomendacja

Należy niezwłocznie zaktualizować Spring Data REST do wersji 3.7.20, 4.3.17, 4.4.15, 4.5.12 lub 5.0.6, w zależności od używanej gałęzi, oraz zweryfikować konfigurację Jacksona pod kątem niestandardowych filtrów.

Oryginalny opis (angielski, źródło NVD)

Spring Data REST's Querydsl integration accepts arbitrary persistent property paths as request-parameter filter keys and does not consider Jackson customizations before handing them to Querydsl. Affected versions: Spring Data REST 3.7.0 through 3.7.19; 4.3.0 through 4.3.16; 4.4.0 through 4.4.14; 4.5.0 through 4.5.11; 5.0.0 through 5.0.5.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS