CVE-2026-47825
WysokieCVSS 8.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 - wyżej niż 4% wszystkich znanych CVE
Streszczenie
Serwer Spring Cloud Gateway przekazuje nagłówki X-Forwarded-For i Forwarded z nieufnych proxy w określonych scenariuszach konfiguracyjnych. Dotyczy to zarówno serwerów bramkowych WebMVC, jak i WebFlux.
Ocena ryzyka
Przekazywanie tych nagłówków z nieufnych źródeł może prowadzić do fałszywej identyfikacji użytkowników oraz potencjalnych ataków typu spoofing.
Rekomendacja
Zaleca się aktualizację do wersji, w której wprowadzono poprawki: 3.1.13, 4.1.13, 4.2.9, 4.3.5 lub 5.0.2.
Oryginalny opis (angielski, źródło NVD)
Spring Cloud Gateway Server forwards the X-Forwarded-For and Forwarded headers from untrusted proxies in certain configuration scenarios. This affects both the WebMVC and WebFlux Gateway Servers. Affected versions: Spring Cloud Gateway 3.1.x (fix 3.1.13). Spring Cloud Gateway 4.1.x (fix 4.1.13). Spring Cloud Gateway 4.2.x (fix 4.2.9). Spring Cloud Gateway 4.3.x (fix 4.3.5). Spring Cloud Gateway 5.0.x (fix 5.0.2).

