Zurück zur Liste

Spring Cloud AWS missing SNS message signature verification allows spoofing of HTTP/HTTPS endpoint notifications — CVE-2026-44308

GHSA · GitHub · CVE-2026-44308

ID
CVE-2026-44308

Datum
2026-05-07

Aktualisiert
2026-05-14

Activity
2026-05-14

Quelle
GHSA

Vendor
GitHub

Risiko
medium

CVSS
6.3

Zusammenfassung

### Impact Applications using Spring Cloud AWS SNS HTTP/HTTPS endpoint support (@NotificationMessageMapping, @NotificationSubscriptionMapping, @NotificationUnsubscribeConfirmationMapping) did not verify the signature of incoming SNS messages. An unauthenticated attacker who knows the endpoint URL could send crafted HTTP POST requests mimicking SNS Notification or SubscriptionConfirmation messages, causing the…

Produkt

maven: io.awspring.cloud:spring-cloud-aws-sns

Was tun?

Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):

Prüfe Exponierung und plane Maßnahmen nach Risiko und Umfeld.
Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.

Offizielles Advisory

Mehr dazu

GitHub GHSA 2026-W20

Red Hat Hardened Images RPMs bug fix and enhancement update

2026-05-15 RHSA-2026:17080

lowRed Hat Red Hat 2026-W20

.NET Core Tampering Vulnerability

2026-05-14 CVE-2026-32175

mediumMicrosoft CVE 2026-W20

.NET Elevation of Privilege Vulnerability

2026-05-14 CVE-2026-32177

highMicrosoft CVE 2026-W20

.NET Elevation of Privilege Vulnerability

2026-05-14 CVE-2026-35433

highMicrosoft CVE 2026-W20

@samanhappy/mcphub: SSE Endpoint Accepts Arbitrary Username from URL Path Without Authentication, Enabling User Impersonation

2026-05-14 GHSA-WF8Q-WVV8-P8JF

criticalGitHub GHSA 2026-W20

@utcp/http: SSRF via attacker-controlled OpenAPI servers[0].url in HTTP communication protocol

2026-05-14 CVE-2026-45366

mediumGitHub GHSA 2026-W20