CVE-2026-41714
ŚrednieCVSS 4.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 - wyżej niż 3% wszystkich znanych CVE
Streszczenie
Podatność w Spring AMQP powoduje, że aplikacje używające RabbitConnectionFactoryBean.setUri("amqps://...") bez wywołania setUseSSL(true) otrzymują szyfrowanie TLS bez walidacji certyfikatu i weryfikacji nazwy hosta.
Ocena ryzyka
Atakujący typu man-in-the-middle może przechwycić i modyfikować ruch między aplikacją a brokerem RabbitMQ, co prowadzi do wycieku danych lub naruszenia integralności komunikatów.
Rekomendacja
Zaktualizuj Spring AMQP do wersji 4.0.4, 3.2.11, 3.1.16 lub 2.4.18 albo wywołaj setUseSSL(true) przy konfiguracji połączenia.
Oryginalny opis (angielski, źródło NVD)
Applications that configure their broker connection via RabbitConnectionFactoryBean.setUri("amqps://...") without also calling setUseSSL(true) get TLS encryption with no certificate validation and no hostname verification. Affected versions: Spring AMQP 4.0.0 through 4.0.3; 3.2.0 through 3.2.10; 3.1.0 through 3.1.15; 2.4.0 through 2.4.17.

