[TLP:CLEAR] VMware Spring opravuje 8 zranitelností
VMware Spring opravuje 8 zranitelností nacházející se v různých produktech. Nejzávažnější zranitelnosti jsou popsány níže, zbylé naleznete na [1] po rozkliknutí jednotlivých varování. Produkty a jejich opravené verze: Spring Security - 5.7.22, 5.8.24, 6.3.15, 6.4.15, 6.5.9, 7.0.4 [2] Spring AI - 1.0.4, 1.1.3 [3][4] Spring Cloud Config - 3.1.13, 4.1.9, 4.2.6, 4.3.2, 5.0.2 [5] Spring Framework - 5.3.47, 6.1.26, 6.2.17, 7.0.6 [6][7] Spring Boot - 2.7.32, 3.3.18, 3.4.15, 3.5.12, 4.0.4 [8][9]
Neautentizovanému vzdálenému útočníkovi je kvůli chybnému zapisování HTTP odpovědních hlaviček v aplikacích používajících Spring Security umožněno získat citlivé informace [2].
Zranitelnost se nachází v produktu Spring Security ve verzích (>=5.7.0 AND <=5.7.21) OR (>=5.8.0 AND <=5.8.23 AND >=6.3.0 AND <=6.3.14) OR (>=6.4.0 AND <=6.4.14) OR (>=6.5.0 AND <=6.5.8) OR (>=7.0.0 AND <=7.0.3).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Více informací:
- CVE-2026-22732 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-425: Direct Request ('Forced Browsing') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 19. 3. 2026.
Autentizovanému vzdálenému útočníkovi je kvůli chybějící sanitizaci vstupu v komponentě MariaDBFilterExpressionConverter v produktu Spring AI umožněno obejít řízení přístupu založené na metadatech a spustit libovolné SQL příkazy [3].
Zranitelnost se nachází v produktu Spring AI ve verzích (>=1.0.0 AND <1.0.4) OR (>=1.1.0 AND <1.1.3).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-22730 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 17. 3. 2026.
Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečnému escapování uživatelského vstupu v JSONPath dotazech komponenty AbstractFilterExpressionConverter v produktu Spring AI umožněno obejít řízení přístupu založené na metadatech a získat přístup k neoprávněným dokumentům [4].
Zranitelnost se nachází v produktu Spring AI ve verzích (>=1.0.0 AND <1.0.4) OR (>=1.1.0 AND <1.1.3).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
Více informací:
- CVE-2026-22729 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-917: Improper Neutralization of Special Elements used in an Expression Language Statement ('Expression Language Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 17. 3. 2026.
Neautentizovanému vzdálenému útočníkovi je kvůli chybné substituci parametru profile v produktu Spring Cloud Config Server umožněno přistupovat k souborům mimo nakonfigurované vyhledávací adresáře nebo při použití backendu repozitáře provádět SSRF útoky [5].
Zranitelnost se nachází v produktu Spring Cloud Config ve verzích (>=3.1.0 AND <3.1.13) OR (>=4.1.0 AND <4.1.9) OR (>=4.2.0 AND <4.2.6) OR (>=4.3.0 AND <4.3.2) OR (>=5.0.0 AND <5.0.2).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L
Více informací:
- CVE-2026-22739 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 23. 3. 2026.
Odkazy
- [1] https://spring.io/security
- [2] https://spring.io/security/cve-2026-22732
- [3] https://spring.io/security/cve-2026-22730
- [4] https://spring.io/security/cve-2026-22729
- [5] https://spring.io/security/cve-2026-22739
- [6] https://spring.io/security/cve-2026-22737
- [7] https://spring.io/security/cve-2026-22735
- [8] https://spring.io/security/cve-2026-22733
- [9] https://spring.io/security/cve-2026-22731
Za CESNET-CERTS Michaela Jarošová dne 26. 3. 2026.
