CVE-2026-41856
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 27 - wyżej niż 27% wszystkich znanych CVE
Streszczenie
Mechanizm wykrywania adnotacji w Spring GraphQL dla metod pobierania danych z adnotacją @Controller może nieprawidłowo rozpoznawać adnotacje w hierarchiach typów. Może to prowadzić do ignorowania adnotacji bezpieczeństwa w czasie wykonania, jeśli są używane do decyzji autoryzacyjnych.
Ocena ryzyka
Ryzyko polega na potencjalnym pominięciu kontroli autoryzacji, co może umożliwić nieautoryzowanym użytkownikom dostęp do chronionych danych lub operacji w aplikacji GraphQL.
Rekomendacja
Zaleca się natychmiastową aktualizację Spring for GraphQL do wersji 2.0.4 lub nowszej (dla linii 2.0.x), 1.4.6 (dla 1.4.x), 1.3.9 (dla 1.3.x) lub 1.0.7 (dla 1.0.x).
Oryginalny opis (angielski, źródło NVD)
The Spring GraphQL annotation detection mechanism for @Controller data fetchers may not correctly resolve annotations on methods within type hierarchies. This can be an issue if such annotations are used for authorization decisions. When all conditions are met, security annotations can be ignored at runtime. Affected versions: Spring for GraphQL 2.0.0 through 2.0.3; 1.4.0 through 1.4.5; 1.3.0 through 1.3.8; 1.0.0 through 1.0.6.

