В реестре Банка данных угроз безопасности информации (BDU) зарегистрирована опасная уязвимость BDU:2026-05835 (CVE-2026-40478). Проблема затрагивает JavaScript-движок Thymeleaf - популярный механизм шаблонов для Java-приложений. Ошибка связана с неправильной нейтрализацией специальных элементов в операторе языка выражений. Иными словами, злоумышленник может внедрить вредоносный код через выражение, которое движок обрабатывает как команду. Это классическая инъекция языка выражений (CWE-917) и, одновременно, инъекция в механизм шаблонов (CWE-1336).
Детали уязвимости
Уязвимыми признаны все версии Thymeleaf до 3.1.4.RELEASE включительно. При эксплуатации нарушителю достаточно отправить специально сформированный запрос к уязвимому приложению. Сложность атаки оценена как высокая (AC:H), но это не снижает опасности. Базовый вектор CVSS 3.1 составил 9,0 баллов - критический уровень. В классификации CVSS 2.0 оценка равна 7,6 балла (высокий). Атакующему не нужна аутентификация и не требуется взаимодействие с пользователем (PR:N, UI:N). При этом после компрометации нарушитель получает полный контроль над конфиденциальностью, целостностью и доступностью системы (C:H/I:H/A:H). Масштаб уязвимости - изменённый (S:C), то есть атака может затронуть компоненты за пределами уязвимого модуля.
Производитель уже подтвердил статус уязвимости и выпустил исправление. Информация об эксплойте пока уточняется, но с учётом серьёзности оценки его появление - лишь вопрос времени. Меры по устранению включают обновление Thymeleaf до версии 3.1.4.RELEASE или выше. Соответствующее уведомление опубликовано на GitHub в security advisory (GHSA-xjw8-8c5c-9r79). Там же можно найти подробные технические детали и рекомендации по миграции.
Уязвимости присвоен также идентификатор CVE-2026-40478. Разработчикам настоятельно рекомендуется как можно скорее обновить библиотеку во всех проектах, где она используется. Откладывать обновление рискованно - наличие рабочего эксплойта может привести к массовым компрометациям веб-приложений, построенных на Java с Thymeleaf.
Кроме того, стоит помнить, что уязвимости класса инъекции кода часто становятся целями APT-групп. Такие атаки позволяют получить постоянное присутствие (persistence) в системе и загрузить дополнительную полезную нагрузку (payload). Поэтому важно не только установить последнюю версию, но и провести аудит безопасности - проверить, не было ли несанкционированного доступа в период до обновления.
Специалистам SOC стоит добавить в IDS/IPS сигнатуры на попытки эксплуатации данной уязвимости. Рекомендуется также внести изменения в MITRE ATT&CK - соответствующие техники инъекции (T1059) уже описаны.
Подводя итог, BDU:2026-05835 - серьёзная угроза для любого приложения, использующего Thymeleaf ниже версии 3.1.4.RELEASE. Критическая оценка 9,0 по CVSS 3.1 подчёркивает необходимость немедленного обновления. Производитель уже предоставил патч, поэтому задержка с установкой может дорого обойтись организациям, не уделившим должного внимания безопасности механизма шаблонов.
Ссылки
- https://bdu.fstec.ru/vul/2026-05835
- https://www.cve.org/CVERecord?id=CVE-2026-40478
- https://github.com/thymeleaf/thymeleaf/security/advisories/GHSA-xjw8-8c5c-9r79
