Katalog CVE

CVE-2026-41839

ŚrednieCVSS 4.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 - wyżej niż 10% wszystkich znanych CVE

Streszczenie

Aplikacja WebFlux z przejętą subdomeną (np. przez XSS) umożliwia atakującemu podmianę znanego identyfikatora sesji na identyfikator sesji uwierzytelnionego użytkownika, co prowadzi do eskalacji uprawnień.

Ocena ryzyka

Atakujący może przejąć sesję uwierzytelnionego użytkownika, uzyskując nieautoryzowany dostęp do chronionych zasobów i danych w aplikacji.

Rekomendacja

Należy niezwłocznie zaktualizować Spring Framework do wersji 7.0.8, 6.2.19, 6.1.28 lub 5.3.49, w zależności od używanej gałęzi.

Oryginalny opis (angielski, źródło NVD)

A WebFlux application with a compromised subdomain (for example, compromised via cross-site scripting (XSS)) is vulnerable to an escalation attack exchanging a known session ID for that of an authenticated user. Affected versions: Spring Framework 7.0.0 through 7.0.7; 6.2.0 through 6.2.18; 6.1.0 through 6.1.27; 5.3.0 through 5.3.48.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS