PT-2026-35515 · Vmware · Spring Boot
August829
+1
·
Publicado
2026-04-27
·
Atualizado
2026-05-17
·
CVE-2026-40970
CVSS v3.1
6.8
Média
| Vetor | AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Spring Boot versões 4.0.0 a 4.0.5
Descrição
Quando configurada para usar um pacote SSL, a auto-configuração do Elasticsearch não realiza a verificação de nome de host (hostname verification) ao se conectar ao servidor Elasticsearch. A verificação de nome de host é um processo de segurança que garante que o certificado do servidor corresponda ao seu nome de host real para evitar ataques de man-in-the-middle.
Recomendações
Atualize para a versão 4.0.6 ou posterior.
Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Spring Boot