概要
Spring Data MongoDB に SpEL(Spring Expression Language)式インジェクション脆弱性(CVE-2026-41717)が発見されました。CVSSスコアは 8.1(High)です。
ユーザー定義リポジトリのクエリメソッドが @Query アノテーションを使用し、かつ capture-all プレースホルダー(?0 等)を含む場合に、パラメータバインディング時に問題が発生します。攻撃者は悪意のある SpEL 式を注入することで、アプリケーション内で任意の処理を実行できる可能性があります。
本日は Spring エコシステムで関連する脆弱性が合計4件公開されました。
| CVE ID | 製品 | スコア |
|---|---|---|
| CVE-2026-41717 | Spring Data MongoDB | 8.1 |
| CVE-2026-41729 | Spring Data REST | 8.1 |
| CVE-2026-41731 | Spring for Apache Kafka | 8.1 |
| CVE-2026-41732 | Spring for Apache Pulsar | 8.1 |
CVSSベクトル
| 項目 | 値 |
|---|---|
| Attack Vector | Network |
| Attack Complexity | High |
| Privileges Required | None |
| User Interaction | None |
| CWE | CWE-917(Expression Language Injection) |
影響を受けるソフトウェア
| バージョン系 | 影響範囲 |
|---|---|
| Spring Data MongoDB 3.4.x | 3.4.0〜3.4.19 |
| Spring Data MongoDB 4.0.x | 4.0.0〜4.0.15 |
| Spring Data MongoDB 4.1.x | 4.1.0〜4.1.14 |
| Spring Data MongoDB 4.2.x | 4.2.0〜4.2.15 |
| Spring Data MongoDB 4.3.x | 4.3.0〜4.3.16 |
| Spring Data MongoDB 4.4.x | 4.4.0〜4.4.14 |
| Spring Data MongoDB 4.5.x | 4.5.0〜4.5.11 |
| Spring Data MongoDB 5.0.x | 5.0.0〜5.0.5 |
修正バージョンと回避策
修正バージョン: 各系統の上記範囲外の最新バージョンへアップデートしてください。詳細は spring.io Security を参照してください。
回避策:
@Queryアノテーションで capture-all プレースホルダー(?0等)を使用している箇所を精査する- ユーザー入力をクエリパラメータとして渡す際の入力検証を強化する
- Spring Data MongoDB のアップデートが困難な場合は、
@Queryアノテーションの使用を避け、MongoTemplate を使用した明示的なクエリ構築に切り替えることを検討する
関連リンク
データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。