Sandboxed Thymeleaf expressions vulnerable to improper recognition of unauthorized syntax patterns — CVE-2026-41901

GitHub · GitHub · CVE-2026-41901

ID
CVE-2026-41901

Date
2026-05-04

Mis à jour
2026-05-13

Activity
2026-05-13

Source
GitHub

Fournisseur
GitHub

Risque
critical

CVSS
9

EPSS
0.00079

Résumé

### Impact A security bypass vulnerability exists in the expression execution mechanisms of Thymeleaf up to and including 3.1.4.RELEASE. Although the library provides mechanisms to avoid the execution of potentially dangerous expressions in some specific sandboxed (restricted) contexts, it fails to properly neutralize specific constructs that allow this kind of expressions to be executed. If an application…

Produit

maven: org.thymeleaf:thymeleaf | maven: org.thymeleaf:thymeleaf-spring5 | maven: org.thymeleaf:thymeleaf-spring6

Que faire

Mesures générales et prudentes (vérifiez les détails dans la source officielle) :

Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.

Avis officiel

Avis associés

GitHub GitHub 2026-W20

Sandboxed Thymeleaf expressions vulnerable to improper recognition of unauthorized syntax patterns — CVE-2026-41901

Résumé

Produit

Que faire

Avis officiel

Avis associés

Assisted Installer RHEL 8 components for Multicluster Engine for Kubernetes 2.6.11

Assisted Installer RHEL 9 components for Multicluster Engine for Kubernetes 2.6.11

Authlib: Cross-site request forging when using cache

AutoMapper Vulnerable to Denial of Service (DoS) via Uncontrolled Recursion

Important: firefox security update

Important: gimp:2.8 security update