Katalog CVE

CVE-2026-41696

ŚrednieCVSS 5.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 17 - wyżej niż 17% wszystkich znanych CVE

Streszczenie

W metodach zapytań repozytoriów Spring Data MongoDB oznaczonych adnotacją @Query, które używają wiązania parametrów regex, występuje niewystarczająca walidacja powiązanego parametru. Atakujący może dostarczyć spreparowany ciąg, aby wydostać się z zamierzonego cytowania wyrażenia regularnego.

Ocena ryzyka

Niewłaściwa walidacja parametrów może prowadzić do wykonania nieautoryzowanych zapytań, co zagraża integralności danych oraz bezpieczeństwu aplikacji.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Spring Data MongoDB, aby zapewnić odpowiednią walidację parametrów regex i zminimalizować ryzyko ataków.

Oryginalny opis (angielski, źródło NVD)

Spring Data MongoDB repository query methods annotated with @Query that use regex parameter binding perform insufficient validation of the bound parameter. An attacker can supply a crafted string to break out of the intended regular expression quoting. Affected versions: Spring Data MongoDB 5.0.0 through 5.0.5; 4.5.0 through 4.5.11; 4.4.0 through 4.4.14; 4.3.0 through 4.3.16; 4.2.0 through 4.2.15; 4.1.0 through 4.1.14; 4.0.0 through 4.0.15; 3.4.0 through 3.4.19.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS