CVE-2026-41696
ŚrednieCVSS 5.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 - wyżej niż 17% wszystkich znanych CVE
Streszczenie
W metodach zapytań repozytoriów Spring Data MongoDB oznaczonych adnotacją @Query, które używają wiązania parametrów regex, występuje niewystarczająca walidacja powiązanego parametru. Atakujący może dostarczyć spreparowany ciąg, aby wydostać się z zamierzonego cytowania wyrażenia regularnego.
Ocena ryzyka
Niewłaściwa walidacja parametrów może prowadzić do wykonania nieautoryzowanych zapytań, co zagraża integralności danych oraz bezpieczeństwu aplikacji.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Spring Data MongoDB, aby zapewnić odpowiednią walidację parametrów regex i zminimalizować ryzyko ataków.
Oryginalny opis (angielski, źródło NVD)
Spring Data MongoDB repository query methods annotated with @Query that use regex parameter binding perform insufficient validation of the bound parameter. An attacker can supply a crafted string to break out of the intended regular expression quoting. Affected versions: Spring Data MongoDB 5.0.0 through 5.0.5; 4.5.0 through 4.5.11; 4.4.0 through 4.4.14; 4.3.0 through 4.3.16; 4.2.0 through 4.2.15; 4.1.0 through 4.1.14; 4.0.0 through 4.0.15; 3.4.0 through 3.4.19.

