[TLP:CLEAR] VMware Spring opravuje více než 60 zranitelností
VMware Spring v rámci dosavadních červnových záplat opravuje 67 zranitelností v různých produktech. Nejzávažnější z nich jsou popsány níže. Úplný seznam zranitelnosti včetně opravených verzí naleznete na [1] po rozkliknutí jednotlivých varování.
Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečnému ověření hlaviček ReplyTo/FaultTo ve Spring Web Services umožněno vykonat útok SSRF. Pokud nelze provést aktualizaci, omezte povolené cíle pro jednotlivé nakonfigurované odesílací komponenty přepsáním metody supports [2].
Zranitelnost se nachází v produktu Spring Web Services ve verzích (>=5.0.0 AND <=5.0.1) OR (>=4.1.0 AND <=4.1.3) OR (>=4.0.0 AND <=4.0.18) OR (>=3.1.0 AND <=3.1.8).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
Více informací:
- CVE-2026-40999 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-918: Server-Side Request Forgery (SSRF) at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 6. 2026.
Neautentizovanému vzdálenému útočníkovi je kvůli zpracování nedůvěryhodného XML pomocí výchozí konfigurace DocumentBuilderFactory v Jaxp13XPathTemplate umožněno vykonat útok XXE, včetně možného vyzrazení citlivých souborů nebo vykonat útok SSRF [3].
Zranitelnost se nachází v produktu Spring Web Services ve verzích (>=5.0.0 AND <=5.0.1) OR (>=4.1.0 AND <=4.1.3) OR (>=4.0.0 AND <=4.0.18) OR (>=3.1.0 AND <=3.1.8).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Více informací:
- CVE-2026-40998 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-611: Improper Restriction of XML External Entity Reference at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 6. 2026.
Neautentizovanému vzdálenému útočníkovi je prostřednictvím specifikace JSON Patch ve Spring Data REST umožněno obejít read-only omezení a upravovat vnořené objekty či kolekce, protože systém neověřuje práva k zápisu u mezilehlých částí cesty (JSON Pointer) [4].
Zranitelnost se nachází v produktu Spring Data REST ve verzích (>=3.7.0 AND <=3.7.19) OR (>=4.3.0 AND <=4.3.16) OR (>=4.4.0 AND <=4.4.14) OR (>=4.5.0 AND <=4.5.11) OR (>=5.0.0 AND <=5.0.5).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Více informací:
- CVE-2026-41728 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-639: Authorization Bypass Through User-Controlled Key at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 6. 2026.
Neautentizovanému vzdálenému útočníkovi je prostřednictvím zranitelných zprávových konvertorů ve Spring JMS umožněno vyvolat deserializaci libovolných gadget tříd, což vede k neoprávněným akcím. V nedůvěryhodných JMS prostředích aktualizujte na opravenou verzi a omezte povolené balíčky k deserializaci pomocí metod setTrustedPackages(String... trustedPackages) [5]
Zranitelnost se nachází v produktu Spring Framework ve verzích (>=7.0.0 AND <=7.0.7) OR (>=6.2.0 AND <=6.2.18) OR (>=6.1.0 AND <=6.1.27 AND >=5.3.0 AND <=5.3.48).
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-41855 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-502: Deserialization of Untrusted Data at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 6. 2026.
Neautentizovanému vzdálenému útočníkovi je kvůli nebezpečné deserializaci při zpracování stránkovaných GraphQL dotazů ve Spring for GraphQL umožněno spustit libovolný kód [6].
Zranitelnost se nachází v produktu Spring for GraphQL ve verzích (>=2.0.0 AND <=2.0.3) OR (>=1.4.0 AND <=1.4.5) OR (>=1.3.0 AND <=1.3.8).
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-41699 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-502: Deserialization of Untrusted Data at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 6. 2026.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 12. 6. 2026.
