Katalog CVE

CVE-2026-41846

ŚrednieCVSS 5.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.14%

Percentyl 4 - wyżej niż 4% wszystkich znanych CVE

Streszczenie

Aplikacje Spring MVC, które akceptują wartości dostarczone przez użytkownika w atrybutach cssClass, cssErrorClass lub cssStyle znaczników formularzy JSP, umożliwiają wstrzyknięcie dowolnego kodu HTML/JavaScript, co może prowadzić do podatności na ataki typu cross-site scripting (XSS).

Ocena ryzyka

Atakujący może wstrzyknąć złośliwy kod JavaScript, który wykona się w przeglądarce ofiary, prowadząc do kradzieży sesji, przejęcia konta lub kradzieży danych wrażliwych.

Rekomendacja

Zaleca się natychmiastową aktualizację Spring Framework do wersji 7.0.8, 6.2.19, 6.1.28 lub 5.3.49, w zależności od używanej gałęzi, oraz unikanie bezpośredniego przekazywania danych wejściowych użytkownika do atrybutów CSS w znacznikach formularzy JSP.

Oryginalny opis (angielski, źródło NVD)

Spring MVC applications which accept user-supplied values in the cssClass, cssErrorClass, or cssStyle attributes of JSP form tags allow arbitrary HTML/JavaScript code injection, potentially resulting in a cross-site scripting (XSS) vulnerability. Affected versions: Spring Framework 7.0.0 through 7.0.7; 6.2.0 through 6.2.18; 6.1.0 through 6.1.27; 5.3.0 through 5.3.48.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS