CVE-2026-40995
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 — wyżej niż 4% wszystkich znanych CVE
Streszczenie
X509AuthenticationProvider może wydawać w pełni uwierzytelniony X509AuthenticationToken dla certyfikatu powiązanego z UserDetails, nie stosując standardowych kontroli cyklu życia konta w Spring Security.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowany dostęp, ponieważ konta mogą być aktywne mimo, że są zablokowane, wygasłe lub mają wygasłe poświadczenia.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Spring Web Services, aby zapewnić prawidłowe stosowanie kontroli cyklu życia konta.
Oryginalny opis (angielski, źródło NVD)
X509AuthenticationProvider could issue a fully authenticated X509AuthenticationToken when a presented certificate mapped to UserDetails, without applying Spring Security's standard account lifecycle checks (disabled, locked, expired, or credentials-expired accounts). Affected versions: Spring Web Services 5.0.0 through 5.0.1; 4.1.0 through 4.1.3; 4.0.0 through 4.0.18; 3.1.0 through 3.1.8.

