Katalog CVE

CVE-2026-22747

ŚrednieCVSS 6.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 21 - wyżej niż 21% wszystkich znanych CVE

Streszczenie

Podatność w Spring Security dotyczy klasy SubjectX500PrincipalExtractor, która nieprawidłowo obsługuje niektóre źle sformułowane wartości CN w certyfikatach X.509. Może to prowadzić do odczytania błędnej nazwy użytkownika, co w przypadku starannie spreparowanego certyfikatu umożliwia atakującemu podszycie się pod innego użytkownika.

Ocena ryzyka

Ryzyko polega na możliwości przejęcia tożsamości innego użytkownika przez atakującego, co może skutkować nieautoryzowanym dostępem do zasobów systemu i naruszeniem integralności danych.

Rekomendacja

Zaleca się natychmiastową aktualizację Spring Security do wersji 7.0.5 lub nowszej, która zawiera poprawkę dla tej podatności. Należy również przejrzeć konfigurację uwierzytelniania opartego na certyfikatach X.509.

Oryginalny opis (angielski, źródło NVD)

Vulnerability in Spring Spring Security. SubjectX500PrincipalExtractor does not correctly handle certain malformed X.509 certificate CN values, which can lead to reading the wrong value for the username. In a carefully crafted certificate, this can lead to an attacker impersonating another user. This issue affects Spring Security: from 7.0.0 through 7.0.4.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS