CVE-2026-40998
🟡 Monitoruj
W Spring Web Services występuje podatność na ataki XXE przy ocenie XPath dla niezaufanego XML.
CVSS
8.2
EPSS
0.4%
Exploit
none
Vendor
Opis źródłowy (NVD)
Jaxp13XPathTemplate evaluated XPath expressions for StreamSource and SAXSource inputs using a code path that parsed attacker-controlled XML with the JDK's default DocumentBuilderFactory behavior instead of Spring's hardened parser configuration. Applications that evaluate XPath against untrusted XML payloads could therefore be exposed to XML External Entity (XXE) style attacks. Affected versions: Spring Web Services 5.0.0 through 5.0.1; 4.1.0 through 4.1.3; 4.0.0 through 4.0.18; 3.1.0 through 3.1.8.
xxe
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 8.2 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.4% |
| Opublikowano (NVD) | 2026-06-11 07:16:27 UTC |
| Ostatnia modyfikacja (NVD) | 2026-06-23 21:16:56 UTC |
Referencje
- https://spring.io/security/cve-2026-40998 (security@vmware.com)