الثغرات ›

CVE-2026-22748

متوسط

CWE-20 — نوع الضعف

                    نُشر: Apr 22, 2026                      ·  آخر تحديث: Apr 25, 2026                      ·  المصدر: NVD                

CVSS v3

5.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Vulnerability in Spring Spring Security. When an application configures JWT decoding with NimbusJwtDecoder or NimbusReactiveJwtDecoder, it must configure an OAuth2TokenValidator<Jwt> separately, for example by calling setJwtValidator.This issue affects Spring Security: from 6.3.0 through 6.3.14, from 6.4.0 through 6.4.14, from 6.5.0 through 6.5.9, from 7.0.0 through 7.0.4.

🤖 ملخص AI

Spring Security JWT validation vulnerability allows improper token validation when NimbusJwtDecoder is used without proper OAuth2TokenValidator configuration. Affected versions 6.3.0-6.3.14, 6.4.0-6.4.14, 6.5.0-6.5.9, and 7.0.0-7.0.4 may accept invalid JWT tokens if validators are not explicitly configured.

📄 الوصف (العربية)

تؤثر هذه الثغرة على تطبيقات Spring Security التي تستخدم NimbusJwtDecoder أو NimbusReactiveJwtDecoder دون تكوين صريح لـ OAuth2TokenValidator. قد يؤدي عدم تعيين مدقق JWT إلى قبول رموز JWT غير صالحة أو منتهية الصلاحية، مما يسمح بالوصول غير المصرح به.

🤖 ملخص تنفيذي (AI)

🤖 التحليل الذكي آخر تحليل: May 30, 2026 05:04

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking government telecom

🎯 تقنيات MITRE ATT&CK

T1550.001 T1078.004

⚖️ درجة المخاطر السعودية (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Update Spring Security to patched versions: 6.3.15 or later, 6.4.15 or later, 6.5.10 or later, or 7.0.5 or later. Ensure OAuth2TokenValidator is explicitly configured via setJwtValidator method for all JWT decoding implementations. Review and validate all JWT token validation configurations in production applications.

🔧 خطوات المعالجة (العربية)

قم بتحديث Spring Security إلى الإصدارات المصححة: 6.3.15 أو أحدث، 6.4.15 أو أحدث، 6.5.10 أو أحدث، أو 7.0.5 أو أحدث. تأكد من تكوين OAuth2TokenValidator بشكل صريح عبر طريقة setJwtValidator لجميع تطبيقات فك تشفير JWT. راجع والتحقق من جميع تكوينات التحقق من رموز JWT في تطبيقات الإنتاج.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 SI-7

🟡 ISO 27001:2022

A.9.2.1 A.9.2.5 A.14.2.1

🔗 المراجع والمصادر 1

🔗

https://spring.io/security/cve-2026-22748

security@vmware.com

Vendor Advisory

📦 المنتجات المتأثرة 4 منتج

vmware:spring_security

📊 CVSS Score

5.3

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityH — High

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityH — High

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.3

CWECWE-20

EPSS0.06%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-22

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

5.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-20

🏢 توجيهات البائع

🔗 https://spring.io/security/cve-2026-22748

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-22748

عرّفنا بنفسك

تسجيل الدخول مطلوب