CVE-2026-41846
ŚrednieCVSS 5.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 - wyżej niż 4% wszystkich znanych CVE
Streszczenie
Aplikacje Spring MVC, które akceptują wartości dostarczone przez użytkownika w atrybutach cssClass, cssErrorClass lub cssStyle znaczników formularzy JSP, umożliwiają wstrzyknięcie dowolnego kodu HTML/JavaScript, co może prowadzić do podatności na ataki typu cross-site scripting (XSS).
Ocena ryzyka
Atakujący może wstrzyknąć złośliwy kod JavaScript, który wykona się w przeglądarce ofiary, prowadząc do kradzieży sesji, przejęcia konta lub kradzieży danych wrażliwych.
Rekomendacja
Zaleca się natychmiastową aktualizację Spring Framework do wersji 7.0.8, 6.2.19, 6.1.28 lub 5.3.49, w zależności od używanej gałęzi, oraz unikanie bezpośredniego przekazywania danych wejściowych użytkownika do atrybutów CSS w znacznikach formularzy JSP.
Oryginalny opis (angielski, źródło NVD)
Spring MVC applications which accept user-supplied values in the cssClass, cssErrorClass, or cssStyle attributes of JSP form tags allow arbitrary HTML/JavaScript code injection, potentially resulting in a cross-site scripting (XSS) vulnerability. Affected versions: Spring Framework 7.0.0 through 7.0.7; 6.2.0 through 6.2.18; 6.1.0 through 6.1.27; 5.3.0 through 5.3.48.

