Se han descubierto vulnerabilidades de severidad crítica y alta en los productos Spring Boot y Spring Security. Un actor malicioso podría eludir los mecanismos de autenticación y omitir funciones de seguridad críticas en las aplicaciones afectadas.
Productos afectados
- Spring Boot: versiones 4.0.x (anteriores a 4.0.3), 3.5.x (anteriores a 3.5.11), 3.4.x (anteriores a 3.4.15), 3.3.x (anteriores a 3.3.17) y 2.7.x (anteriores a 2.7.31).
- Spring Security: versiones 5.7.x (hasta 5.7.21), 5.8.x (hasta 5.8.23), 6.3.x (hasta 6.3.14), 6.4.x (hasta 6.4.14), 6.5.x (hasta 6.5.8) y 7.0.x (hasta 7.0.3).
- Las versiones de productos que han alcanzado el fin de su vida útil se consideran vulnerables.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-22732: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad de omisión de funciones de seguridad. En aplicaciones servlet que utilizan Spring Security, existe la posibilidad de que los encabezados de respuesta HTTP de seguridad no se escriban correctamente, lo que permitiría a un actor malicioso eludir las protecciones basadas en dichos encabezados.
CVE-2026-22731: con una puntuación de 8.2 en CVSS v3.1. Existe una vulnerabilidad de omisión de autenticación mediante el uso de una ruta o canal alternativo. En aplicaciones Spring Boot con Actuator, un actor malicioso remoto podría acceder a endpoints protegidos sin autenticación cuando estos se declaran bajo rutas configuradas para Health Groups.
CVE-2026-22733: con una puntuación de 8.2 en CVSS v3.1. Existe una vulnerabilidad de omisión de autenticación mediante el uso de una ruta o canal alternativo. Un actor malicioso remoto podría eludir la autenticación de endpoints específicos en aplicaciones Spring Boot con Actuator cuando estos se declaran bajo la ruta utilizada por los endpoints de CloudFoundry Actuator.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias