CVE-2026-41719Средний
Поделиться ссылкой
Любой, у кого есть ссылка, сможет открыть эту уязвимость.
Уязвимость SpEL Injection существует в Spring Data KeyValue, если недезинфицированный пользовательский ввод передается как Сортировать в ме…
CVSS
6.4
Средний
EPSS
0.00
p10
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание
Уязвимость SpEL Injection существует в Spring Data KeyValue, если недезинфицированный пользовательский ввод передается как Сортировать в метод запроса репозитория, который делегирует оценку SpelPropertyComparator. Затрагиваемые версии: Весенние данные KeyValue / весенние данные Redis 4.0.0 до 4.0.5; 3.5.0-3.5.11; 3.4.0-3.4.14; 3.3.0-3.3.16; 3.2.0 - 3.2.15; 3.0.0 - 3.
Теги · CWE
CWE-917
CWE-917БазаНеполный
Некорректная нейтрализация специальных элементов в операторе языка выражений ('Внедрение в язык выражений')
Продукт формирует полностью или частично оператор языка выражений (EL) во фреймворке, например Java Server Page (JSP), используя входные данные от вышестоящего компонента, однако не нейтрализует или некорректно нейтрализует специальные элементы, способные изменить логику оператора EL до его выполнения.
https://cwe.mitre.org/data/definitions/917.html →Открыть в коллекции CWE →Вектор CVSS
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:L/A:L
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: H
Высокая (H)
Требуемые привилегии
PR: L
Низкие (L)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: L
Низкое (L)
Воздействие на доступность
A: L
Низкое (L)
Индикаторы эксплуатации
EPSS
0.002 · p10
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Нет уязвимостей под заданные фильтры.
Внешние ссылки