製品・ソフトウェアに関する情報
Vulnerability Search
VMwareのspring for graphqlにおける同一生成元ポリシー違反に関する脆弱性
Title VMwareのspring for graphqlにおける同一生成元ポリシー違反に関する脆弱性
Summary

WebSocketトランスポートを有効にしたSpring for GraphQLアプリケーションには、クロスサイトWebSocketハイジャックの脆弱性があります。攻撃者は認証済みユーザーを悪意のあるページに誘導することで、被害者の資格情報を使って任意のGraphQL操作を実行できます。影響を受けるバージョンはSpring for GraphQL 2.0.0から2.0.3、1.4.0から1.4.5、1.3.0から1.3.8、および1.0.0から1.0.6までです。

Possible impacts ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date June 11, 2026, midnight
Registration Date June 15, 2026, 11:18 a.m.
Last Update June 15, 2026, 11:18 a.m.
CVSS3.0 : 重要
Score 8.1
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
Affected System
VMware
spring for graphql 1.0.0 以上 1.0.7 未満
spring for graphql 1.3.0 以上 1.3.9 未満
spring for graphql 1.4.0 以上 1.4.6 未満
spring for graphql 2.0.0 以上 2.0.4 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
Change Log
No Changed Details Date of change
1 [2026年06月15日]
  掲載		 June 15, 2026, 11:18 a.m.
NVD Vulnerability Information
CVE-2026-41700
Summary

Spring for GraphQL applications that have enabled the WebSocket transport are vulnerable to Cross-Site WebSocket Hijacking. An attacker can trick an authenticated user into visiting a malicious page, allowing the attacker to execute arbitrary GraphQL operations with the victim's credentials.

Affected versions:
Spring for GraphQL 2.0.0 through 2.0.3; 1.4.0 through 1.4.5; 1.3.0 through 1.3.8; 1.0.0 through 1.0.6.

Publication Date June 11, 2026, 4:16 p.m.
Registration Date June 12, 2026, 4:17 a.m.
Last Update June 12, 2026, 11:13 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:vmware:spring_for_graphql:*:*:*:*:*:*:*:* 1.0.0 1.0.7
cpe:2.3:a:vmware:spring_for_graphql:*:*:*:*:*:*:*:* 1.3.0 1.3.9
cpe:2.3:a:vmware:spring_for_graphql:*:*:*:*:*:*:*:* 1.4.0 1.4.6
cpe:2.3:a:vmware:spring_for_graphql:*:*:*:*:*:*:*:* 2.0.0 2.0.4
Related information, measures and tools
Common Vulnerabilities List