CVE-2026-41848
NiskieCVSS 3.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 — wyżej niż 23% wszystkich znanych CVE
Streszczenie
Podatność ReDoS w Spring Framework umożliwia atakującemu przeprowadzenie ataku typu odmowa usługi poprzez dostarczenie specjalnie spreparowanego wzorca do metod AntPathMatcher: match, matchStart oraz extractUriTemplateVariables.
Ocena ryzyka
Atakujący może spowodować znaczne spowolnienie lub całkowite zatrzymanie działania aplikacji, co prowadzi do przerwania dostępności usług dla użytkowników.
Rekomendacja
Należy niezwłocznie zaktualizować Spring Framework do wersji 7.0.8, 6.2.19, 6.1.28 lub 5.3.49, w zależności od używanej gałęzi.
Oryginalny opis (angielski, źródło NVD)
Applications may be vulnerable to a Regular Expression Denial of Service (ReDoS) attack if an attacker is able to provide a pattern which is then directly or indirectly supplied to one of the following methods in AntPathMatcher: match(String pattern, String path), matchStart(String pattern, String path), extractUriTemplateVariables(String pattern, String path). Affected versions: Spring Framework 7.0.0 through 7.0.7; 6.2.0 through 6.2.18; 6.1.0 through 6.1.27; 5.3.0 through 5.3.48.

