Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Élévation de privilèges
Systèmes affectés
- Framework versions 5.3.x antérieures à 5.3.49
- Framework versions 6.1.x antérieures à 6.1.28
- Framework versions 6.2.x antérieures à 6.2.19 (source ouverte) ou 6.2.18.1 (licence commerciale)
- Framework versions 7.0.x antérieures à 7.0.8 (source ouverte) ou 7.0.7.1 (licence commerciale)
- LDAP versions 2.4.x antérieures à 2.4.5
- LDAP versions 3.2.x antérieures à 3.2.18
- LDAP versions 3.3.x antérieures à 3.3.8
- LDAP versions 4.0.x antérieures à 4.0.4
- Reactor Netty versions 1.0.x antérieures à 1.0.52 (Reactor BOM 2020.0.51)
- Reactor Netty versions 1.1.x antérieures à 1.1.36 (Reactor BOM 2023.0.24)
- Reactor Netty versions 1.2.x antérieures à 1.2.18 (Reactor BOM 2024.0.18)
- Reactor Netty versions 1.3.x antérieures à 1.3.6 (Reactor BOM 2025.0.6)
- REST Docs versions 2.0.x antérieures à 2.0.9
- REST Docs versions 3.0.x antérieures à 3.0.6 (source ouverte) ou 3.0.5.1 (licence commerciale)
- REST Docs versions 4.0.x antérieures à 4.0.1 (source ouverte) ou 4.0.0.1 (licence commerciale)
- Retry versions 1.3.x antérieures à 1.3.5
- Retry versions 2.0.x antérieures à 2.0.13
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Spring. Certaines d'entre elles permettent à un attaquant de provoquer une élévation de privilèges, un déni de service à distance et une atteinte à la confidentialité des données.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Spring cve-2026-41710 du 08 juin 2026 https://spring.io/security/cve-2026-41710
- Bulletin de sécurité Spring cve-2026-41715 du 08 juin 2026 https://spring.io/security/cve-2026-41715
- Bulletin de sécurité Spring cve-2026-41720 du 08 juin 2026 https://spring.io/security/cve-2026-41720
- Bulletin de sécurité Spring cve-2026-41838 du 08 juin 2026 https://spring.io/security/cve-2026-41838
- Bulletin de sécurité Spring cve-2026-41839 du 08 juin 2026 https://spring.io/security/cve-2026-41839
- Bulletin de sécurité Spring cve-2026-41840 du 08 juin 2026 https://spring.io/security/cve-2026-41840
- Bulletin de sécurité Spring cve-2026-41841 du 08 juin 2026 https://spring.io/security/cve-2026-41841
- Bulletin de sécurité Spring cve-2026-41842 du 08 juin 2026 https://spring.io/security/cve-2026-41842
- Bulletin de sécurité Spring cve-2026-40991 du 09 juin 2026 https://spring.io/security/cve-2026-40991/
- Bulletin de sécurité Spring cve-2026-41843 du 09 juin 2026 https://spring.io/security/cve-2026-41843/
- Bulletin de sécurité Spring cve-2026-41844 du 09 juin 2026 https://spring.io/security/cve-2026-41844/
- Référence CVE CVE-2026-40991 https://www.cve.org/CVERecord?id=CVE-2026-40991
- Référence CVE CVE-2026-41710 https://www.cve.org/CVERecord?id=CVE-2026-41710
- Référence CVE CVE-2026-41715 https://www.cve.org/CVERecord?id=CVE-2026-41715
- Référence CVE CVE-2026-41720 https://www.cve.org/CVERecord?id=CVE-2026-41720
- Référence CVE CVE-2026-41838 https://www.cve.org/CVERecord?id=CVE-2026-41838
- Référence CVE CVE-2026-41839 https://www.cve.org/CVERecord?id=CVE-2026-41839
- Référence CVE CVE-2026-41840 https://www.cve.org/CVERecord?id=CVE-2026-41840
- Référence CVE CVE-2026-41841 https://www.cve.org/CVERecord?id=CVE-2026-41841
- Référence CVE CVE-2026-41842 https://www.cve.org/CVERecord?id=CVE-2026-41842
- Référence CVE CVE-2026-41843 https://www.cve.org/CVERecord?id=CVE-2026-41843
- Référence CVE CVE-2026-41844 https://www.cve.org/CVERecord?id=CVE-2026-41844
