Katalog CVE

CVE-2026-41844

ŚrednieCVSS 4.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.13%

Percentyl 3 - wyżej niż 3% wszystkich znanych CVE

Streszczenie

Podatność w Spring MVC i Spring WebFlux umożliwia atakującemu przekierowanie użytkownika na dowolny zewnętrzny host poprzez spreparowany link z prefiksem 'redirect:', gdy aplikacja konfiguruje mapowanie dla '/**' bez jawnego określenia nazwy widoku.

Ocena ryzyka

Atakujący może wykorzystać tę lukę do przeprowadzenia ataku phishingowego lub przekierowania użytkowników na złośliwe strony, co może prowadzić do kradzieży danych lub infekcji złośliwym oprogramowaniem.

Rekomendacja

Należy niezwłocznie zaktualizować Spring Framework do wersji 7.0.8, 6.2.19, 6.1.28 lub 5.3.49, w zależności od używanej gałęzi, oraz unikać konfiguracji mapowania '/**' bez jawnego określenia widoku.

Oryginalny opis (angielski, źródło NVD)

A Spring MVC or Spring WebFlux application which configures a mapping for "/**" where the view name is not explicitly specified allows an attacker to craft a link resulting in a 302 redirect to an arbitrary external host via the redirect: prefix. Affected versions: Spring Framework 7.0.0 through 7.0.7; 6.2.0 through 6.2.18; 6.1.0 through 6.1.27; 5.3.0 through 5.3.48.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS