Katalog CVE

CVE-2026-40986

ŚrednieCVSS 4.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

Spring Web Flow's JavaScript RemotingHandler renderuje treść odpowiedzi błędu jako HTML, nawet gdy odpowiedź nie jest typu 'text/html'. Może to prowadzić do ataku skryptowego w przeglądarce użytkownika, jeśli odpowiedź błędu z serwera zawiera szczegóły błędu z danymi wprowadzonymi przez atakującego.

Ocena ryzyka

Organizacja może być narażona na ataki skryptowe, które mogą prowadzić do kradzieży danych użytkowników lub przejęcia sesji. W szczególności, jeśli atakujący może wprowadzić złośliwe dane, ryzyko wzrasta.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Spring Web Flow, aby zminimalizować ryzyko związane z tą podatnością. Należy również przeprowadzić audyt aplikacji w celu identyfikacji potencjalnych wektorów ataku.

Oryginalny opis (angielski, źródło NVD)

Spring Web Flow's JavaScript RemotingHandler renders the body of an error response as HTML even when the response is not "text/html", which can result in a scripting attack in the user's browser if the error response from the server contains error details with input reflected from an attacker. Affected versions: Spring Web Flow 4.0.0; 3.0.0 through 3.0.1; 2.5.0 through 2.5.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS