Vaadinのバージョン14.0.0から14.14.0、23.0.0から23.6.6、24.0.0から24.9.7、および25.0.0から25.0.1において、予約されたフレームワークパスのパターンマッチングの不整合により、Spring Securityを使用するアプリケーションに認証バイパスの脆弱性が存在しています。末尾にスラッシュがない状態で/VAADINエンドポイントにアクセスすると、セキュリティフィルターをバイパスでき、認証されていないユーザーがフレームワークの初期化をトリガーし、適切な認可なしにセッションを作成することが可能です。影響を受けるバージョンのSpring Securityを使用しているユーザーは以下のようにアップグレードしてください：14.0.0〜14.14.0は14.14.1へ、23.0.0〜23.6.6は23.6.7へ、24.0.0〜24.9.7は24.9.8へ、25.0.0〜25.0.1は25.0.2以上へアップグレードしてください。それ以外に、Vaadinのバージョン10〜13および15〜22はすでにサポートされていないため、最新の14、23、24、または25のいずれかのバージョンへ更新してください。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。