Katalog CVE

CVE-2026-40975

ŚrednieCVSS 4.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.31%

Percentyl 23 - wyżej niż 23% wszystkich znanych CVE

Streszczenie

W Spring Boot wartości generowane przez ${random.value} nie są bezpieczne do użycia jako sekrety, ponieważ opierają się na słabym generatorze liczb pseudolosowych. ${random.uuid} nie jest podatny, natomiast ${random.int} i ${random.long} również nie powinny być używane do sekretów ze względu na przewidywalny zakres liczbowy.

Ocena ryzyka

Użycie tych właściwości do przechowywania haseł, tokenów lub kluczy może umożliwić atakującemu odtworzenie sekretów, co prowadzi do naruszenia poufności i autoryzacji w aplikacji.

Rekomendacja

Zaktualizuj Spring Boot do wersji z poprawką (4.0.6, 3.5.14, 3.4.16, 3.3.19, 2.7.33) i zastąp ${random.value} bezpiecznym generatorem sekretów, np. java.security.SecureRandom lub dedykowanym menedżerem sekretów.

Oryginalny opis (angielski, źródło NVD)

Values produced by ${random.value} are not suitable for use as secrets. ${random.uuid} is not affected. ${random.int} and ${random.long} should never be used for secrets as they are numeric values with a predictable range. Affected: Spring Boot 4.0.0–4.0.5 (fix 4.0.6), 3.5.0–3.5.13 (fix 3.5.14), 3.4.0–3.4.15 (fix 3.4.16), 3.3.0–3.3.18 (fix 3.3.19), 2.7.0–2.7.32 (fix 2.7.33); random value property source / weak PRNG for secrets. Versions that are no longer supported are also affected per vendor advisory.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS