CVE-2026-40968
⚪ Do wiadomości
Błąd w Spring gRPC pozwala na eskalację uprawnień przez dziedziczenie tożsamości użytkownika.
CVSS
4.2
EPSS
0.0%
Exploit
none
Vendor
vmware
Opis źródłowy (NVD)
When an authenticated user is denied access to a gRPC method, their authenticated identity remains bound to the gRPC worker thread and can be inherited by a subsequent unauthenticated request on the same thread. This may allow the subsequent user to gain escalated permissions. Affected versions: Spring gRPC: 1.0.0 - 1.0.2 (fixed in 1.0.3). Older, unsupported versions are also affected.
brak
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 4.2 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.0% |
| Opublikowano (NVD) | 2026-04-28 15:16:30 UTC |
| Ostatnia modyfikacja (NVD) | 2026-04-30 13:32:58 UTC |
Referencje
- https://spring.io/security/cve-2026-40968 (security@vmware.com) [Vendor Advisory]