CVE-2026-41854
ŚrednieCVSS 4.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 - wyżej niż 2% wszystkich znanych CVE
Streszczenie
Podatność w Spring Framework wynika z nieprawidłowego parsowania hosta przez UriComponentsBuilder. Aplikacje używające tego komponentu do analizy i walidacji zewnętrznych adresów URL mogą być narażone na atak SSRF (Server-Side Request Forgery).
Ocena ryzyka
Atakujący może wykorzystać tę lukę do wysyłania żądań z serwera do wewnętrznych zasobów sieciowych, co może prowadzić do nieautoryzowanego dostępu do danych lub usług.
Rekomendacja
Zaleca się natychmiastową aktualizację Spring Framework do wersji 7.0.8 lub nowszej (dla gałęzi 7.0.x) oraz 6.2.19 lub nowszej (dla gałęzi 6.2.x).
Oryginalny opis (angielski, źródło NVD)
Due to incorrect host parsing, applications that rely on UriComponentsBuilder to parse and validate an externally provided URL string may be exposed to a server-side request forgery (SSRF) attack. Affected versions: Spring Framework 7.0.0 through 7.0.7; 6.2.0 through 6.2.18.

