Spring - CVE-2026-22752

Date de publication :

Il s'agit d'une vulnérabilité dans les endpoints de Dynamic Client Registration de Spring Authorization Server.

Spring Security est un framework de sécurité pour applications Java basé sur Spring. Il fournit des mécanismes d'authentification, d'autorisation et de protection contre les attaques web courantes. Spring Authorization Server est son module dédié à l'implémentation de serveurs OAuth2 et OpenID Connect, utilisé pour centraliser la gestion des accès dans les architectures de microservices et les applications d'entreprise Java.

Lorsque cette fonctionnalité est explicitement activée, les champs de métadonnées soumis par le client lors de l'enregistrement dynamique OAuth2 ne font l'objet d'aucune validation suffisante. Un attaquant disposant d'un Initial Access Token valide peut enregistrer un client malveillant avec des métadonnées forgées. Selon la configuration du serveur et les métadonnées injectées, trois scénarios d'exploitation sont possibles : un XSS stocké sur l'interface du serveur d'autorisation, une élévation de privilèges sur les droits OAuth2 accordés, ou un Server-Side Request Forgery (SSRF) forçant le serveur à effectuer des requêtes vers des ressources internes.

Elle permet à un attaquant authentifié avec un token d'accès initial de compromettre l'intégrité du serveur d'autorisation, d'exfiltrer des données de sessions d'autres utilisateurs via le XSS stocké, ou d'atteindre des ressources internes non exposées via le SSRF.

CVE-2026-22752

[Score CVSS v3.1 : 9.6]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

•   Élévation de privilèges
•   Contournement de la politique de sécurité
•   Atteinte à la confidentialité des données
•   Injection de code indirecte (à distance) (XSS)

Exploitation

La vulnérabilité exploitée est du type
CWE-20 : Improper Input Validation

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   Spring Security versions 7.0.0 jusqu'à 7.0.4 inclus
•   Spring Authorization Server versions 1.3.0 jusqu'à 1.3.10 inclus
•   Spring Authorization Server versions 1.4.0 jusqu'à 1.4.9 inclus
•   Spring Authorization Server versions 1.5.0 jusqu'à 1.5.6 inclus

Contournement provisoire

La désactivation des endpoints de Dynamic Client Registration constitue un contournement viable si la mise à jour immédiate n'est pas possible.

Solutions ou recommandations

•   Spring Security version 7.0.5 et supérieures (OSS)
•   Spring Authorization Server version 1.3.11 et supérieures (branche 1.3, Commercial)
•   Spring Authorization Server version 1.4.10 et supérieures (branche 1.4, Commercial)
•   Spring Authorization Server version 1.5.7 et supérieures (branche 1.5, OSS)

Liens