Katalog CVE

CVE-2026-41854

ŚrednieCVSS 4.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.12%

Percentyl 2 - wyżej niż 2% wszystkich znanych CVE

Streszczenie

Podatność w Spring Framework wynika z nieprawidłowego parsowania hosta przez UriComponentsBuilder. Aplikacje używające tego komponentu do analizy i walidacji zewnętrznych adresów URL mogą być narażone na atak SSRF (Server-Side Request Forgery).

Ocena ryzyka

Atakujący może wykorzystać tę lukę do wysyłania żądań z serwera do wewnętrznych zasobów sieciowych, co może prowadzić do nieautoryzowanego dostępu do danych lub usług.

Rekomendacja

Zaleca się natychmiastową aktualizację Spring Framework do wersji 7.0.8 lub nowszej (dla gałęzi 7.0.x) oraz 6.2.19 lub nowszej (dla gałęzi 6.2.x).

Oryginalny opis (angielski, źródło NVD)

Due to incorrect host parsing, applications that rely on UriComponentsBuilder to parse and validate an externally provided URL string may be exposed to a server-side request forgery (SSRF) attack. Affected versions: Spring Framework 7.0.0 through 7.0.7; 6.2.0 through 6.2.18.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS