W określonych okolicznościach domyślny mechanizm web security w Spring Boot staje się nieskuteczny, umożliwiając nieautoryzowany dostęp do wszystkich endpointów aplikacji. Podatność jest krytyczna ze względu na brak wymagań po stronie atakującego — nie potrzebuje uwierzytelnienia ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
In certain circumstances, Spring Boot's default web security is ineffective allowing unauthorized access to all endpoints. For an application to be vulnerable, it must: be a servlet-based web application; have no Spring Security configuration of its own and rely on the default web security filter chain; depend on spring-boot-actuator-autoconfigure; not depend on spring-boot-health. If any of the above does not apply, the application is not vulnerable. Affected: Spring Boot 4.0.0–4.0.5; upgrade to 4.0.6 or later per vendor advisory.
Podatność (CWE-862: Missing Authorization) występuje, gdy aplikacja oparta na Spring Boot spełnia jednocześnie kilka warunków: jest aplikacją webową opartą na serwletach, nie posiada własnej konfiguracji Spring Security i polega wyłącznie na domyślnym łańcuchu filtrów bezpieczeństwa, zależy od modułu spring-boot-actuator-autoconfigure oraz nie zależy od spring-boot-health. W takim przypadku domyślna ochrona web security przestaje działać prawidłowo, a kontrola dostępu do endpointów nie jest egzekwowana. Atakujący zdalnie, bez uwierzytelnienia, może uzyskać dostęp do wszystkich endpointów aplikacji, w tym potencjalnie wrażliwych endpointów actuatora.
Atakujący bez żadnych uprawnień może uzyskać nieautoryzowany dostęp do wszystkich endpointów aplikacji, co prowadzi do ujawnienia poufnych danych oraz możliwości nieuprawnionej modyfikacji zasobów aplikacji.
Należy zaktualizować Spring Boot do wersji 4.0.6 lub nowszej zgodnie z zaleceniem producenta opublikowanym pod adresem https://spring.io/security/cve-2026-40976. Alternatywnie możliwe jest dostarczenie własnej konfiguracji Spring Security, dodanie zależności spring-boot-health lub usunięcie zależności spring-boot-actuator-autoconfigure, co eliminuje podatność.
VMware Spring Boot w wersjach 4.0.0–4.0.5; wyłącznie aplikacje spełniające wszystkie cztery wymienione w opisie warunki jednocześnie
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NVMware Spring Boot
APPVmware4.0.0 – 4.0.6 (bez)
Powiązane podatności
An issue in Dromara SaToken version 1.36.0 and before allows a remote attacker to escalate privileges via a cr...
In Spring Boot versions 3.0.0 - 3.0.5, 2.7.0 - 2.7.10, and older unsupported versions, an application that is ...
Element Plug-in for vCenter Server incorporates SpringBoot Framework. SpringBoot Framework versions prior to 1...
Malicious PATCH requests submitted to servers using Spring Data REST versions prior to 2.6.9 (Ingalls SR9), ve...
An attacker on the same network as the remote application may be able to utilize a timing attack to discover i...