Podatność w Spring Security powoduje, że nagłówki HTTP odpowiedzi mogą nie zostać zapisane w aplikacjach servlet korzystających z domyślnego (leniwego) mechanizmu ich zapisu. Jest to groźne, ponieważ brak nagłówków bezpieczeństwa (np. Content-Security-Policy, Strict-Transport-Security) może narazić użytkowników na ataki po stronie klienta.
▸ Pokaż oryginał (EN)
When applications specify HTTP response headers for servlet applications using Spring Security, there is the possibility that the HTTP Headers will not be written. This issue affects Spring Security Servlet applications using lazy (default) writing of HTTP Headers: : from 5.7.0 through 5.7.21, from 5.8.0 through 5.8.23, from 6.3.0 through 6.3.14, from 6.4.0 through 6.4.14, from 6.5.0 through 6.5.8, from 7.0.0 through 7.0.3.
Aplikacje Spring Security korzystają domyślnie z tzw. lazy (leniwego) zapisu nagłówków HTTP odpowiedzi. W określonych warunkach mechanizm ten nie gwarantuje faktycznego dołączenia skonfigurowanych nagłówków bezpieczeństwa do wysyłanej odpowiedzi HTTP. Skutkuje to sytuacją, w której przeglądarka lub klient HTTP nie otrzymuje nagłówków ochronnych, mimo że zostały one skonfigurowane po stronie aplikacji. Podatność klasyfikowana jest jako CWE-425 (Direct Request / Forced Browsing), co wskazuje na możliwość ominięcia mechanizmów kontroli dostępu lub ochrony.
Atakujący może potencjalnie ominąć zabezpieczenia realizowane przez nagłówki HTTP (np. polityki bezpieczeństwa treści, mechanizmy anti-clickjacking), co może prowadzić do ujawnienia poufnych informacji lub naruszenia integralności zasobów aplikacji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://spring.io/security/cve-2026-22732. Zaleca się aktualizację Spring Security do wersji wyższych niż wskazane zakresy podatnych wydań.
VMware Spring Security — aplikacje servlet korzystające z domyślnego (leniwego) zapisu nagłówków HTTP: wersje od 5.7.0 do 5.7.21, od 5.8.0 do 5.8.23, od 6.3.0 do 6.3.14, od 6.4.0 do 6.4.14, od 6.5.0 do 6.5.8 oraz od 7.0.0 do 7.0.3.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NVMware Spring Security
APPVmware< 5.7.225.8.0 – 5.8.24 (bez)6.3.0 – 6.3.15 (bez)6.4.0 – 6.4.15 (bez)6.5.0 – 6.5.9 (bez)7.0.0 – 7.0.4 (bez)
Powiązane podatności
Using "**" as a pattern in Spring Security configuration for WebFlux creates a mismatch in pattern matching b...
Spring Security, versions 5.7 prior to 5.7.5 and 5.6 prior to 5.6.9 could be susceptible to authorization rule...
In spring security versions prior to 5.4.11+, 5.5.7+ , 5.6.4+ and older unsupported versions, RegexRequestMatc...
When using the CAS Proxy ticket authentication from Spring Security 3.1 to 3.2.4 a malicious CAS Service could...
An application using spring-security-saml2-service-provider and the REDIRECT binding for SAML 2.0 Login or Log...