Katalog CVE

CVE-2026-41726

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.29%

Percentyl 21 - wyżej niż 21% wszystkich znanych CVE

Streszczenie

Podatność w Spring for Apache Kafka umożliwia atakującemu producentowi nieograniczone zwiększanie użycia pamięci sterty konsumenta poprzez wysyłanie rekordów z unikalnymi wartościami nagłówka `spring.kafka.serialization.selector`, co prowadzi do przeciążenia garbage collectora i błędu OutOfMemoryError.

Ocena ryzyka

Ryzyko polega na możliwości przeprowadzenia ataku typu Denial of Service (DoS) na aplikację korzystającą z DelegatingDeserializer, co może skutkować niedostępnością usługi.

Rekomendacja

Zaleca się natychmiastową aktualizację Spring for Apache Kafka do wersji 4.0.6, 3.3.16, 3.2.14 lub 2.9.14 (w zależności od używanej gałęzi) oraz unikanie stosowania DelegatingDeserializer w środowiskach produkcyjnych bez dodatkowych zabezpieczeń.

Oryginalny opis (angielski, źródło NVD)

When an application opts into DelegatingDeserializer, a producer can grow the consumer's heap without bound by sending records with unique random spring.kafka.serialization.selector header values, eventually causing GC thrash and OutOfMemoryError. Affected versions: Spring for Apache Kafka 4.0.0 through 4.0.5; 3.3.0 through 3.3.15; 3.2.0 through 3.2.13; 2.9.0 through 2.9.13; 2.8.0 through 2.8.11.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS