CVE-2026-40997
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 28 — wyżej niż 28% wszystkich znanych CVE
Streszczenie
W kilku ścieżkach integracji Spring WS z Spring Security mogą być ujawniane szczegółowe informacje o stanie konta, takie jak zablokowane lub wyłączone konta, poprzez komunikaty o błędach lub wyniki wywołań zwrotnych. To zachowanie ułatwia zdalnym atakującym rozróżnianie ważnych kont od nieważnych.
Ocena ryzyka
Ujawnienie szczegółowych informacji o stanie konta może prowadzić do zwiększonego ryzyka ataków, ponieważ atakujący mogą łatwiej identyfikować konta, które można zaatakować.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Spring Web Services, aby zminimalizować ryzyko związane z ujawnianiem informacji o stanie konta.
Oryginalny opis (angielski, źródło NVD)
Several Spring WS integration paths with Spring Security could surface detailed account state (for example locked or disabled user semantics) to remote SOAP clients through exception messages or callback outcomes, instead of failing with generic authentication errors. That behavior assists remote attackers in distinguishing valid accounts from invalid ones and inferring lifecycle state. Affected versions: Spring Web Services 5.0.0 through 5.0.1; 4.1.0 through 4.1.3; 4.0.0 through 4.0.18; 3.1.0 through 3.1.8.

