Katalog CVE

CVE-2026-47825

WysokieCVSS 8.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.14%

Percentyl 4 - wyżej niż 4% wszystkich znanych CVE

Streszczenie

Serwer Spring Cloud Gateway przekazuje nagłówki X-Forwarded-For i Forwarded z nieufnych proxy w określonych scenariuszach konfiguracyjnych. Dotyczy to zarówno serwerów bramkowych WebMVC, jak i WebFlux.

Ocena ryzyka

Przekazywanie tych nagłówków z nieufnych źródeł może prowadzić do fałszywej identyfikacji użytkowników oraz potencjalnych ataków typu spoofing.

Rekomendacja

Zaleca się aktualizację do wersji, w której wprowadzono poprawki: 3.1.13, 4.1.13, 4.2.9, 4.3.5 lub 5.0.2.

Oryginalny opis (angielski, źródło NVD)

Spring Cloud Gateway Server forwards the X-Forwarded-For and Forwarded headers from untrusted proxies in certain configuration scenarios. This affects both the WebMVC and WebFlux Gateway Servers. Affected versions: Spring Cloud Gateway 3.1.x (fix 3.1.13). Spring Cloud Gateway 4.1.x (fix 4.1.13). Spring Cloud Gateway 4.2.x (fix 4.2.9). Spring Cloud Gateway 4.3.x (fix 4.3.5). Spring Cloud Gateway 5.0.x (fix 5.0.2).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS