anonhaven

CVE-2026-22733

HIGH CVSS 3.1: 8,2 EPSS 0.04%
Обновлено 20 марта 2026
Spring
Параметр Значение
CVSS 8,2 (HIGH)
Уязвимые версии 4.0.0 — 4.0.3
Тип уязвимости CWE-288 (Обход аутентификации)
Поставщик Spring
Публичный эксплойт Нет

Приложения Spring Boot с Actuator могут быть уязвимы к уязвимости «Обход аутентификации», когда конечная точка приложения, требующая аутентификации, объявлена ​​по пути, используемому конечными точками CloudFoundry Actuator. Эта проблема затрагивает Spring Security: с 4.0.0 по 4.0.3, с 3.5.0 по 3.5.11, с 3.4.0 по 3.4.14, с 3.3.0 по 3.3.17, с 2.7.0 по 2.7.31.

Показать оригинальное описание (EN)

Spring Boot applications with Actuator can be vulnerable to an "Authentication Bypass" vulnerability when an application endpoint that requires authentication is declared under the path used by the CloudFoundry Actuator endpoints. This issue affects Spring Security: from 4.0.0 through 4.0.3, from 3.5.0 through 3.5.11, from 3.4.0 through 3.4.14, from 3.3.0 through 3.3.17, from 2.7.0 through 2.7.31.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-288 Authentication Bypass Using Alternate Path (Обход аутентификации)

Ссылки 1

https://spring.io/security/cve-2026-22733
security@vmware.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-22735

Spring

2,6

CVE-2026-22732

Spring

9,1

CVE-2026-22731

Spring

8,2

CVE-2026-22730

Spring

8,8

CVE-2026-22729

Spring

8,6