| タイトル | VMwareのSpring Securityにおける保護メカニズムの不具合に関する脆弱性 |
|---|---|
| 概要 | Spring Securityに存在する脆弱性です。アプリケーションがsecurityMatchers(String)およびPathPatternRequestMatcher.Builderビーンを使用してサーブレットパスを前置している場合、そのフィルターチェーンへのリクエストのマッチングが失敗し、アプリケーションで意図されたとおりに関連するセキュリティコンポーネントが実行されない可能性があります。これにより、認証、認可、およびその他のセキュリティ制御が意図されたリクエストで無効化される恐れがあります。この問題はSpring Securityの7.0.0から7.0.4までのバージョンに影響を与えます。 |
| 想定される影響 | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月22日0:00 |
| 登録日 | 2026年4月27日11:28 |
| 最終更新日 | 2026年4月27日11:28 |
| CVSS3.0 : 重要 | |
| スコア | 7.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
| VMware |
| Spring Security 7.0.0 以上 7.0.5 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年04月27日] 掲載 |
2026年4月27日11:28 |
| 概要 | Vulnerability in Spring Spring Security. If an application is using securityMatchers(String) and a PathPatternRequestMatcher.Builder bean to prepend a servlet path, matching requests to that filter chain may fail and its related security components will not be exercised as intended by the application. This can lead to the authentication, authorization, and other security controls being rendered inactive on intended requests.This issue affects Spring Security: from 7.0.0 through 7.0.4. |
|---|---|
| 公表日 | 2026年4月22日15:16 |
| 登録日 | 2026年4月25日4:04 |
| 最終更新日 | 2026年4月24日23:17 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:vmware:spring_security:*:*:*:*:*:*:*:* | 7.0.0 | 7.0.5 | |||