### Влияние
Spinnaker обновил логику проверки URL-адресов при вводе пользователем данных, чтобы обеспечить обработку введенных пользователем URL-адресов для CloudDriver. Однако они упустили из виду, что объекты URL-адресов Java неправильно обрабатывают символы подчеркивания при анализе. Это привело к обходу предыдущей версии CVE (CVE-2025-61916) за счет использования тщательно созданных URL-адресов.
Обратите внимание: Spinnaker обнаружил это не только в CVE, но и в существующих проверках URL-адресов в обработке выражений fromUrl Orca. В результате эта CVE влияет на ОБА артефакта.
### Патчи
Он был объединен и будет доступен в версиях 2025.4.1, 2025.3.1, 2025.2.4 и 2026.0.0.
### Обходные пути
Вы можете отключить различные артефакты в этой системе, чтобы обойти эти ограничения.
Показать оригинальное описание (EN)
### Impact Spinnaker updated URL Validation logic on user input to provide sanitation on user inputted URLs for clouddriver. However, they missed that Java URL objects do not correctly handle underscores on parsing. This led to a bypass of the previous CVE (CVE-2025-61916) through the use of carefully crafted URLs. Note, Spinnaker found this not just in that CVE, but in the existing URL validations in Orca fromUrl expression handling. This CVE impacts BOTH artifacts as a result. ### Patches This has been merged and will be available in versions 2025.4.1, 2025.3.1, 2025.2.4 and 2026.0.0. ### Workarounds You can disable the various artifacts on this system to work around these limits.
Характеристики атаки
Последствия
Строка CVSS v3.1