Katalog CVE

CVE-2026-41714

ŚrednieCVSS 4.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.13%

Percentyl 3 - wyżej niż 3% wszystkich znanych CVE

Streszczenie

Podatność w Spring AMQP powoduje, że aplikacje używające RabbitConnectionFactoryBean.setUri("amqps://...") bez wywołania setUseSSL(true) otrzymują szyfrowanie TLS bez walidacji certyfikatu i weryfikacji nazwy hosta.

Ocena ryzyka

Atakujący typu man-in-the-middle może przechwycić i modyfikować ruch między aplikacją a brokerem RabbitMQ, co prowadzi do wycieku danych lub naruszenia integralności komunikatów.

Rekomendacja

Zaktualizuj Spring AMQP do wersji 4.0.4, 3.2.11, 3.1.16 lub 2.4.18 albo wywołaj setUseSSL(true) przy konfiguracji połączenia.

Oryginalny opis (angielski, źródło NVD)

Applications that configure their broker connection via RabbitConnectionFactoryBean.setUri("amqps://...") without also calling setUseSSL(true) get TLS encryption with no certificate validation and no hostname verification. Affected versions: Spring AMQP 4.0.0 through 4.0.3; 3.2.0 through 3.2.10; 3.1.0 through 3.1.15; 2.4.0 through 2.4.17.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS