CVE-2026-41694
⚪ Do wiadomości
Brak weryfikacji podpisu w Spring Security SAML umożliwia atakującym wykorzystanie usługi jako oracle do deszyfrowania.
CVSS
3.7
EPSS
0.1%
Exploit
none
Vendor
vmware
Opis źródłowy (NVD)
Since Spring Security SAML decrypts SAML Responses as well as elements of SAML LogoutRequests and LogoutResponses without requiring a valid signature, attackers may be able to craft these SAML payloads and use the Service Provider as a decryption oracle. Affected versions: Spring Security 5.7.0 through 5.7.23; 5.8.0 through 5.8.25; 6.3.0 through 6.3.16; 6.4.0 through 6.4.16; 6.5.0 through 6.5.10; 7.0.0 through 7.0.5.
brak
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 3.7 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.1% |
| Opublikowano (NVD) | 2026-06-10 00:16:50 UTC |
| Ostatnia modyfikacja (NVD) | 2026-06-27 22:16:46 UTC |
Referencje
- https://spring.io/security/cve-2026-41694 (security@vmware.com) [Vendor Advisory]