Spring - CVE-2026-22732

Date de publication :

Il s'agit d'une vulnérabilité dans Spring Security pour les applications servlet qui configurent leurs en-têtes HTTP de réponse via ce composant.

Spring Security est un composant de sécurité pour les applications Java basées sur Spring. Il gère notamment l’authentification, l’autorisation et l’ajout d’en-têtes HTTP de sécurité.

Dans certaines conditions, les en-têtes de sécurité attendus ne sont pas écrits dans la réponse HTTP. Le défaut concerne donc le mécanisme chargé d’appliquer ces protections côté framework. L’absence de ces en-têtes peut exposer l’application à plusieurs scénarios d’attaque, notamment à une exposition de données sensibles via des mécanismes de cache.

Elle permet un contournement de la politique de sécurité et peut conduire à une atteinte à la confidentialité et à une atteinte à l’intégrité des données.

CVE-2026-22732

[Score CVSS v3.1 : 9.1]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

•   Contournement de la politique de sécurité
•   Atteinte à la confidentialité des données
•   Atteinte à l'intégrité des données

Exploitation

La vulnérabilité exploitée est du type
CWE-693 : Protection Mechanism Failure

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   Spring Security versions 5.7.0 jusqu'à 5.7.21
•   Spring Security versions 5.8.0 jusqu'à 5.8.23
•   Spring Security versions 6.3.0 jusqu'à 6.3.14
•   Spring Security versions 6.4.0 jusqu'à 6.4.14
•   Spring Security versions 6.5.0 jusqu'à 6.5.8
•   Spring Security versions 7.0.0 jusqu'à 7.0.3

Les versions plus anciennes non supportées peuvent également être affectées.

Solutions ou recommandations

•   Spring Security versions 5.7.22 et supérieures. Correctif disponible en support entreprise uniquement.
•   Spring Security versions 5.8.24 et supérieures. Correctif disponible en support entreprise uniquement.
•   Spring Security versions 6.3.15 et supérieures. Correctif disponible en support entreprise uniquement.
•   Spring Security versions 6.4.15 et supérieures. Correctif disponible en support entreprise uniquement.
•   Spring Security versions 6.5.9 et supérieures.
•   Spring Security versions 7.0.4 et supérieures.

Liens