Katalog CVE

CVE-2026-41008

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.17%

Percentyl 7 - wyżej niż 7% wszystkich znanych CVE

Streszczenie

Podatność w Spring Security Authorization Server wynika z niewystarczającej walidacji parametru request_uri w punkcie końcowym autoryzacji. Atakujący może wysłać złośliwe żądanie autoryzacyjne z nieprawidłowym request_uri i dowolnym, niezweryfikowanym redirect_uri, co prowadzi do podatności na otwarte przekierowanie (Open Redirect).

Ocena ryzyka

Ryzyko polega na możliwości przekierowania użytkownika na złośliwą stronę, co może być wykorzystane do kradzieży danych uwierzytelniających lub przeprowadzenia ataku phishingowego.

Rekomendacja

Zaleca się natychmiastową aktualizację Spring Security do wersji 7.0.6 lub nowszej, a Spring Authorization Server do wersji 1.5.8 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy zaimplementować dodatkową walidację parametru redirect_uri po stronie serwera.

Oryginalny opis (angielski, źródło NVD)

Spring Security Authorization Server's authorization endpoint performs insufficient validation of the request_uri parameter. An attacker can craft a malicious authorization request containing an invalid request_uri and an arbitrary, unvalidated redirect_uri, which can lead to an Open Redirect vulnerability. Affected versions: Spring Security 7.0.0 through 7.0.5. Spring Authorization Server 1.5.0 through 1.5.7.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS