製品・ソフトウェアに関する情報

JVN脆弱性詳細

VMwareのSpring Cloud Functionにおける再帰制御に関する脆弱性

Title	VMwareのSpring Cloud Functionにおける再帰制御に関する脆弱性
Summary	ルーティング層における無限再帰により、リクエスト処理がOOM（メモリ不足）エラーを引き起こす可能性があります。影響を受けるSpring製品とそのバージョンは以下の通りです。Spring Cloud Function 3.2.xでは3.2.16未満のバージョン、Spring Cloud Function 4.1.xでは4.1.10未満のバージョン、Spring Cloud Function 4.2.xでは4.2.6未満のバージョン、Spring Cloud Function 4.3.xでは4.3.3未満のバージョン、Spring Cloud Function 5.0.xでは5.0.2未満のバージョンが影響を受けます。古いサポートされていないバージョンも影響を受ける可能性があります。
Possible impacts	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 1, 2026, midnight
Registration Date	June 8, 2026, 12:31 p.m.
Last Update	June 8, 2026, 12:31 p.m.

Affected System

VMware

Spring Cloud Function 3.2.0 以上 3.2.16 未満

Spring Cloud Function 4.1.0 以上 4.1.10 未満

Spring Cloud Function 4.2.0 以上 4.2.6 未満

Spring Cloud Function 4.3.0 以上 4.3.3 未満

Spring Cloud Function 5.0.0 以上 5.0.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-40989	https://www.cve.org/CVERecord?id=CVE-2026-40989
National Vulnerability Database (NVD)
2	CVE-2026-40989	https://nvd.nist.gov/vuln/detail/CVE-2026-40989
Spring Security Advisories
3	CVE-2026-40989: Self Routing guard bypassed via function composition	https://spring.io/security/cve-2026-40989

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-674	https://cwe.mitre.org/data/definitions/674.html

Change Log

No	Changed Details	Date of change
1	[2026年06月08日] 掲載	June 8, 2026, 12:31 p.m.

NVD Vulnerability Information

CVE-2026-40989

Summary	Under infinite recursion in the routing layer, request-handling can cause OOM error. Affected Spring Products and Versions: Spring Cloud Function 3.2.x: versions prior to 3.2.16 Spring Cloud Function 4.1.x: versions prior to 4.1.10 Spring Cloud Function 4.2.x: versions prior to 4.2.6 Spring Cloud Function 4.3.x: versions prior to 4.3.3 Spring Cloud Function 5.0.x: versions prior to 5.0.2 Older, unsupported versions are also affected.
Publication Date	June 2, 2026, 4:16 a.m.
Registration Date	June 3, 2026, 4:14 a.m.
Last Update	June 5, 2026, 10:49 p.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:vmware:spring_cloud_function::::::::	3.2.0			3.2.16
cpe:2.3:a:vmware:spring_cloud_function::::::::	4.1.0			4.1.10
cpe:2.3:a:vmware:spring_cloud_function::::::::	4.2.0			4.2.6
cpe:2.3:a:vmware:spring_cloud_function::::::::	4.3.0			4.3.3
cpe:2.3:a:vmware:spring_cloud_function::::::::	5.0.0			5.0.2

Related information, measures and tools

No	URL	refsource	タグ
1	https://spring.io/security/cve-2026-40989	security@vmware.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-674	不適切な再帰制御	https://cwe.mitre.org/data/definitions/674.html