Vulnerabilities ›

CVE-2026-7045

Medium

CWE-74 — Weakness Type

                    Published: Apr 26, 2026                      ·  Modified: Apr 29, 2026                      ·  Source: NVD                

CVSS v3

6.3

🔗 NVD Official

📄 Description (English)

A vulnerability was determined in baomidou dynamic-datasource 2.5.0. Affected by this vulnerability is the function DsSpelExpressionProcessor#doDetermineDatasource of the file dynamic-datasource-spring/src/main/java/com/baomidou/dynamic/datasource/processor/DsSpelExpressionProcessor.java of the component StandardEvaluationContext/SpelExpressionParser. This manipulation causes injection. The attack may be initiated remotely. Patch name: 273fcedaee984c08197c0890f14190b86ab7e0b8. It is recommended to apply a patch to fix this issue.

🤖 AI Executive Summary

A SpEL injection vulnerability exists in baomidou dynamic-datasource 2.5.0 in the DsSpelExpressionProcessor component that allows remote code execution through unsafe expression evaluation. Organizations using this library should immediately update to patched versions to prevent unauthorized data access and system compromise.

📄 Description (Arabic)

تؤثر هذه الثغرة على مكون معالج التعبيرات في مكتبة baomidou dynamic-datasource الإصدار 2.5.0 حيث يتم تقييم تعبيرات SpEL بشكل غير آمن. يمكن للمهاجمين استغلال هذه الثغرة لحقن أكواد ضارة وتنفيذها بعيداً عن طريق معالجة المدخلات غير الموثوقة.

🤖 ملخص تنفيذي (AI)

ثغرة حقن SpEL موجودة في مكتبة baomidou dynamic-datasource 2.5.0 في مكون DsSpelExpressionProcessor تسمح بتنفيذ أكواد بعيدة عبر تقييم تعبيرات غير آمنة. يجب على المنظمات التي تستخدم هذه المكتبة التحديث الفوري للإصدارات المصححة لمنع الوصول غير المصرح للبيانات.

🤖 AI Intelligence Analysis Analyzed: May 16, 2026 20:46

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom government healthcare

🎯 MITRE ATT&CK Techniques

T1190 T1059 T1203 T1083

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update baomidou dynamic-datasource to version 2.5.1 or later that includes patch 273fcedaee984c08197c0890f14190b86ab7e0b8. Review and restrict SpEL expression inputs, implement input validation and sanitization, disable dynamic SpEL evaluation where possible, and apply principle of least privilege to database connections.

🔧 خطوات المعالجة (العربية)

قم بتحديث مكتبة baomidou dynamic-datasource إلى الإصدار 2.5.1 أو أحدث الذي يتضمن الإصلاح. راجع وقيد مدخلات تعبيرات SpEL، وطبق التحقق من صحة المدخلات والتطهير، وعطل تقييم SpEL الديناميكي حيث أمكن، وطبق مبدأ أقل امتياز على اتصالات قواعد البيانات.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

2.1.1 2.2.1 2.2.4 3.1.1

🔵 SAMA CSF

ID.GV-4 PR.DS-1 PR.DS-6 DE.CM-1

🟡 ISO 27001:2022

A.12.2.1 A.12.6.1 A.14.1.1 A.14.2.1

🔗 References & Sources 7

🔗

https://github.com/baomidou/dynamic-datasource/

cna@vuldb.com

🔗

https://github.com/baomidou/dynamic-datasource/commit/273fcedaee984c08197c0890f14190b86...

cna@vuldb.com

🔗

https://github.com/baomidou/dynamic-datasource/issues/766

cna@vuldb.com

🔗

https://github.com/baomidou/dynamic-datasource/pull/767

cna@vuldb.com

🔗

https://vuldb.com/submit/798600

cna@vuldb.com

🔗

https://vuldb.com/vuln/359624

cna@vuldb.com

🔗

https://vuldb.com/vuln/359624/cti

cna@vuldb.com

📊 CVSS Score

6.3

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 Quick Facts

Severity Medium

CVSS Score6.3

CWECWE-74

EPSS0.05%

Exploit No

Patch ✗ No

Published 2026-04-26

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-74

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-7045

Introduce Yourself

Sign In Required