Katalog CVE

CVE-2026-41000

NiskieCVSS 3.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 13 — wyżej niż 13% wszystkich znanych CVE

Streszczenie

Wss4jSecurityInterceptor nie zawsze poprawnie integrował instancje ReplayCache z Apache WSS4J w RequestData do sprawdzania w czasie walidacji. Może to prowadzić do nieskuteczności zabezpieczeń przed powtórnym użyciem nonces UsernameToken oraz znaczników czasowych.

Ocena ryzyka

Organizacja może być narażona na ataki polegające na powtórnym użyciu tokenów, co może prowadzić do nieautoryzowanego dostępu do systemów.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Spring Web Services, aby zapewnić skuteczną ochronę przed atakami powtórnego użycia.

Oryginalny opis (angielski, źródło NVD)

Wss4jSecurityInterceptor did not consistently wire Apache WSS4J ReplayCache instances into RequestData for validation-time checks. As a result, protections against replay of UsernameToken nonces and creation timestamps, Timestamp elements, and certain SAML one-time-use semantics could be ineffective even when operators configured a replay cache on the interceptor. Affected versions: Spring Web Services 5.0.0 through 5.0.1; 4.1.0 through 4.1.3; 4.0.0 through 4.0.18; 3.1.0 through 3.1.8.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS