CRITICAL🇬🇧 English

CVE-2026-22732

VMware Spring Security — brak zapisu nagłówków HTTP odpowiedzi

CVSS 9.1v3.1pub. 2026-03-19upd. 2026-04-16

Podatność w Spring Security powoduje, że nagłówki HTTP odpowiedzi mogą nie zostać zapisane w aplikacjach servlet korzystających z domyślnego (leniwego) mechanizmu ich zapisu. Jest to groźne, ponieważ brak nagłówków bezpieczeństwa (np. Content-Security-Policy, Strict-Transport-Security) może narazić użytkowników na ataki po stronie klienta.

Pokaż oryginał (EN)

When applications specify HTTP response headers for servlet applications using Spring Security, there is the possibility that the HTTP Headers will not be written.  This issue affects Spring Security Servlet applications using lazy (default) writing of HTTP Headers: : from 5.7.0 through 5.7.21, from 5.8.0 through 5.8.23, from 6.3.0 through 6.3.14, from 6.4.0 through 6.4.14, from 6.5.0 through 6.5.8, from 7.0.0 through 7.0.3.

🤖 Analiza AI
Jak działa

Aplikacje Spring Security korzystają domyślnie z tzw. lazy (leniwego) zapisu nagłówków HTTP odpowiedzi. W określonych warunkach mechanizm ten nie gwarantuje faktycznego dołączenia skonfigurowanych nagłówków bezpieczeństwa do wysyłanej odpowiedzi HTTP. Skutkuje to sytuacją, w której przeglądarka lub klient HTTP nie otrzymuje nagłówków ochronnych, mimo że zostały one skonfigurowane po stronie aplikacji. Podatność klasyfikowana jest jako CWE-425 (Direct Request / Forced Browsing), co wskazuje na możliwość ominięcia mechanizmów kontroli dostępu lub ochrony.

Skutki

Atakujący może potencjalnie ominąć zabezpieczenia realizowane przez nagłówki HTTP (np. polityki bezpieczeństwa treści, mechanizmy anti-clickjacking), co może prowadzić do ujawnienia poufnych informacji lub naruszenia integralności zasobów aplikacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://spring.io/security/cve-2026-22732. Zaleca się aktualizację Spring Security do wersji wyższych niż wskazane zakresy podatnych wydań.

Kogo dotyczy

VMware Spring Security — aplikacje servlet korzystające z domyślnego (leniwego) zapisu nagłówków HTTP: wersje od 5.7.0 do 5.7.21, od 5.8.0 do 5.8.23, od 6.3.0 do 6.3.14, od 6.4.0 do 6.4.14, od 6.5.0 do 6.5.8 oraz od 7.0.0 do 7.0.3.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • VMware Spring Security

    APP
    Vmware
    < 5.7.225.8.0 – 5.8.24 (bez)6.3.0 – 6.3.15 (bez)6.4.0 – 6.4.15 (bez)6.5.0 – 6.5.9 (bez)7.0.0 – 7.0.4 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2023-34034CRITICAL9.1ten sam produkt

Using "**" as a pattern in Spring Security configuration for WebFlux creates a mismatch in pattern matching b...

CVE-2022-31692CRITICAL9.8ten sam produkt

Spring Security, versions 5.7 prior to 5.7.5 and 5.6 prior to 5.6.9 could be susceptible to authorization rule...

CVE-2022-22978CRITICAL9.8ten sam produkt

In spring security versions prior to 5.4.11+, 5.5.7+ , 5.6.4+ and older unsupported versions, RegexRequestMatc...

CVE-2014-3527CRITICAL9.8ten sam produkt

When using the CAS Proxy ticket authentication from Spring Security 3.1 to 3.2.4 a malicious CAS Service could...

CVE-2026-40988HIGH7.5ten sam produkt

An application using spring-security-saml2-service-provider and the REDIRECT binding for SAML 2.0 Login or Log...

CVE-2026-22732 — VMware Spring Security — brak zapisu nagłówków HTTP odpowiedzi — CRITICAL 9.1 | CVEbaza.pl