Katalog CVE

CVE-2026-40997

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.37%

Percentyl 28 — wyżej niż 28% wszystkich znanych CVE

Streszczenie

W kilku ścieżkach integracji Spring WS z Spring Security mogą być ujawniane szczegółowe informacje o stanie konta, takie jak zablokowane lub wyłączone konta, poprzez komunikaty o błędach lub wyniki wywołań zwrotnych. To zachowanie ułatwia zdalnym atakującym rozróżnianie ważnych kont od nieważnych.

Ocena ryzyka

Ujawnienie szczegółowych informacji o stanie konta może prowadzić do zwiększonego ryzyka ataków, ponieważ atakujący mogą łatwiej identyfikować konta, które można zaatakować.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Spring Web Services, aby zminimalizować ryzyko związane z ujawnianiem informacji o stanie konta.

Oryginalny opis (angielski, źródło NVD)

Several Spring WS integration paths with Spring Security could surface detailed account state (for example locked or disabled user semantics) to remote SOAP clients through exception messages or callback outcomes, instead of failing with generic authentication errors. That behavior assists remote attackers in distinguishing valid accounts from invalid ones and inferring lifecycle state. Affected versions: Spring Web Services 5.0.0 through 5.0.1; 4.1.0 through 4.1.3; 4.0.0 through 4.0.18; 3.1.0 through 3.1.8.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS