CVE-2026-41839
ŚrednieCVSS 4.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 - wyżej niż 10% wszystkich znanych CVE
Streszczenie
Aplikacja WebFlux z przejętą subdomeną (np. przez XSS) umożliwia atakującemu podmianę znanego identyfikatora sesji na identyfikator sesji uwierzytelnionego użytkownika, co prowadzi do eskalacji uprawnień.
Ocena ryzyka
Atakujący może przejąć sesję uwierzytelnionego użytkownika, uzyskując nieautoryzowany dostęp do chronionych zasobów i danych w aplikacji.
Rekomendacja
Należy niezwłocznie zaktualizować Spring Framework do wersji 7.0.8, 6.2.19, 6.1.28 lub 5.3.49, w zależności od używanej gałęzi.
Oryginalny opis (angielski, źródło NVD)
A WebFlux application with a compromised subdomain (for example, compromised via cross-site scripting (XSS)) is vulnerable to an escalation attack exchanging a known session ID for that of an authenticated user. Affected versions: Spring Framework 7.0.0 through 7.0.7; 6.2.0 through 6.2.18; 6.1.0 through 6.1.27; 5.3.0 through 5.3.48.

