Se ha descubierto una vulnerabilidad en aplicaciones que utilizan Spring for GraphQL, lo cual podría permitir un ataque de código remoto.
Productos afectados
Spring for GraphQL version desconocida.
Impacto
La vulnerabilidad se ha identificado como: CVE-2026-41699, con una puntuación de 8.1 en CVSS v3.1. Existe una vulnerabilidad de deserialización segura insuficiente que podría permitir un ataque de código remoto a través de consultas GraphQL paginadas cuando la aplicación expone un campo (Connection) y el classpath contiene clases específicas que pueden ser explotadas durante la deserialización.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial de Spring. Verifica las actualizaciones de seguridad disponibles en esta página.
Referencias
- NVD – CVE-2026-41699: https://nvd.nist.gov/vuln/detail/CVE-2026-41699
- Referencia de origen – CVE-2026-41699: https://cvefeed.io/vuln/detail/CVE-2026-41699