CRITICAL🇬🇧 English

CVE-2026-40976

VMware Spring Boot: nieefektywna domyślna ochrona web security — nieautoryzowany dostęp

CVSS 9.1v3.1pub. 2026-04-28upd. 2026-06-30

W określonych okolicznościach domyślny mechanizm web security w Spring Boot staje się nieskuteczny, umożliwiając nieautoryzowany dostęp do wszystkich endpointów aplikacji. Podatność jest krytyczna ze względu na brak wymagań po stronie atakującego — nie potrzebuje uwierzytelnienia ani interakcji użytkownika.

Pokaż oryginał (EN)

In certain circumstances, Spring Boot's default web security is ineffective allowing unauthorized access to all endpoints. For an application to be vulnerable, it must: be a servlet-based web application; have no Spring Security configuration of its own and rely on the default web security filter chain; depend on spring-boot-actuator-autoconfigure; not depend on spring-boot-health. If any of the above does not apply, the application is not vulnerable. Affected: Spring Boot 4.0.0–4.0.5; upgrade to 4.0.6 or later per vendor advisory.

🤖 Analiza AI
Jak działa

Podatność (CWE-862: Missing Authorization) występuje, gdy aplikacja oparta na Spring Boot spełnia jednocześnie kilka warunków: jest aplikacją webową opartą na serwletach, nie posiada własnej konfiguracji Spring Security i polega wyłącznie na domyślnym łańcuchu filtrów bezpieczeństwa, zależy od modułu spring-boot-actuator-autoconfigure oraz nie zależy od spring-boot-health. W takim przypadku domyślna ochrona web security przestaje działać prawidłowo, a kontrola dostępu do endpointów nie jest egzekwowana. Atakujący zdalnie, bez uwierzytelnienia, może uzyskać dostęp do wszystkich endpointów aplikacji, w tym potencjalnie wrażliwych endpointów actuatora.

Skutki

Atakujący bez żadnych uprawnień może uzyskać nieautoryzowany dostęp do wszystkich endpointów aplikacji, co prowadzi do ujawnienia poufnych danych oraz możliwości nieuprawnionej modyfikacji zasobów aplikacji.

Mitygacja

Należy zaktualizować Spring Boot do wersji 4.0.6 lub nowszej zgodnie z zaleceniem producenta opublikowanym pod adresem https://spring.io/security/cve-2026-40976. Alternatywnie możliwe jest dostarczenie własnej konfiguracji Spring Security, dodanie zależności spring-boot-health lub usunięcie zależności spring-boot-actuator-autoconfigure, co eliminuje podatność.

Kogo dotyczy

VMware Spring Boot w wersjach 4.0.0–4.0.5; wyłącznie aplikacje spełniające wszystkie cztery wymienione w opisie warunki jednocześnie

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • VMware Spring Boot

    APP
    Vmware
    4.0.0 – 4.0.6 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2023-44794CRITICAL9.8ten sam produkt

An issue in Dromara SaToken version 1.36.0 and before allows a remote attacker to escalate privileges via a cr...

CVE-2023-20873CRITICAL9.8ten sam produkt

In Spring Boot versions 3.0.0 - 3.0.5, 2.7.0 - 2.7.10, and older unsupported versions, an application that is ...

CVE-2021-26987CRITICAL9.8ten sam produkt

Element Plug-in for vCenter Server incorporates SpringBoot Framework. SpringBoot Framework versions prior to 1...

CVE-2017-8046CRITICAL9.8ten sam produkt

Malicious PATCH requests submitted to servers using Spring Data REST versions prior to 2.6.9 (Ingalls SR9), ve...

CVE-2026-40972HIGH7.5ten sam produkt

An attacker on the same network as the remote application may be able to utilize a timing attack to discover i...