Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-40976 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-04-28 |
| Producent | VMware |
| Produkt | Spring Boot |
| CVSS Score | 9.1 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
W określonych warunkach domyślne web security w Spring Boot jest nieskuteczne, co umożliwia nieautoryzowany dostęp do wszystkich endpointów aplikacji. Aby aplikacja była podatna, musi spełniać wszystkie poniższe warunki: być aplikacją webową opartą o servlety, nie posiadać własnej konfiguracji Spring Security i polegać na domyślnym łańcuchu filtrów web security, mieć zależność
spring-boot-actuator-autoconfigureoraz nie mieć zależnościspring-boot-health. Jeśli którykolwiek z powyższych warunków nie jest spełniony, aplikacja nie jest podatna.Podatne wersje: Spring Boot 4.0.0-4.0.5; należy zaktualizować do wersji zawierającej poprawkę.
Wymagane działania
Niezwłocznie zaktualizuj Spring Boot do wersji nowszej niż 4.0.5 zawierającej poprawkę. Do czasu wdrożenia patcha dodaj jawną konfigurację Spring Security dla wszystkich endpointów lub dołącz zależność spring-boot-health, co spowoduje wyłączenie podatnej ścieżki konfiguracji domyślnej. Przejrzyj logi aplikacji oraz ruch HTTP pod kątem nieautoryzowanego dostępu do endpointów /actuator/* oraz innych chronionych zasobów.
Kogo dotyczy?
Podatność dotyczy produktu Spring Boot dostarczanego przez VMware. Sprawdź czy Twoja organizacja używa Spring Boot 4.0.0-4.0.5 z spring-boot-actuator-autoconfigure bez własnej konfiguracji Spring Security i niezwłocznie zaktualizuj framework do wersji zawierającej poprawkę.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
