Katalog CVE

CVE-2026-41856

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.35%

Percentyl 27 - wyżej niż 27% wszystkich znanych CVE

Streszczenie

Mechanizm wykrywania adnotacji w Spring GraphQL dla metod pobierania danych z adnotacją @Controller może nieprawidłowo rozpoznawać adnotacje w hierarchiach typów. Może to prowadzić do ignorowania adnotacji bezpieczeństwa w czasie wykonania, jeśli są używane do decyzji autoryzacyjnych.

Ocena ryzyka

Ryzyko polega na potencjalnym pominięciu kontroli autoryzacji, co może umożliwić nieautoryzowanym użytkownikom dostęp do chronionych danych lub operacji w aplikacji GraphQL.

Rekomendacja

Zaleca się natychmiastową aktualizację Spring for GraphQL do wersji 2.0.4 lub nowszej (dla linii 2.0.x), 1.4.6 (dla 1.4.x), 1.3.9 (dla 1.3.x) lub 1.0.7 (dla 1.0.x).

Oryginalny opis (angielski, źródło NVD)

The Spring GraphQL annotation detection mechanism for @Controller data fetchers may not correctly resolve annotations on methods within type hierarchies. This can be an issue if such annotations are used for authorization decisions. When all conditions are met, security annotations can be ignored at runtime. Affected versions: Spring for GraphQL 2.0.0 through 2.0.3; 1.4.0 through 1.4.5; 1.3.0 through 1.3.8; 1.0.0 through 1.0.6.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS