CVE-2026-41844
ŚrednieCVSS 4.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 - wyżej niż 3% wszystkich znanych CVE
Streszczenie
Podatność w Spring MVC i Spring WebFlux umożliwia atakującemu przekierowanie użytkownika na dowolny zewnętrzny host poprzez spreparowany link z prefiksem 'redirect:', gdy aplikacja konfiguruje mapowanie dla '/**' bez jawnego określenia nazwy widoku.
Ocena ryzyka
Atakujący może wykorzystać tę lukę do przeprowadzenia ataku phishingowego lub przekierowania użytkowników na złośliwe strony, co może prowadzić do kradzieży danych lub infekcji złośliwym oprogramowaniem.
Rekomendacja
Należy niezwłocznie zaktualizować Spring Framework do wersji 7.0.8, 6.2.19, 6.1.28 lub 5.3.49, w zależności od używanej gałęzi, oraz unikać konfiguracji mapowania '/**' bez jawnego określenia widoku.
Oryginalny opis (angielski, źródło NVD)
A Spring MVC or Spring WebFlux application which configures a mapping for "/**" where the view name is not explicitly specified allows an attacker to craft a link resulting in a 302 redirect to an arbitrary external host via the redirect: prefix. Affected versions: Spring Framework 7.0.0 through 7.0.7; 6.2.0 through 6.2.18; 6.1.0 through 6.1.27; 5.3.0 through 5.3.48.

