製品・ソフトウェアに関する情報

JVN脆弱性詳細

VMwareのspring for graphqlにおける信頼できないデータのデシリアライゼーションに関する脆弱性

タイトル	VMwareのspring for graphqlにおける信頼できないデータのデシリアライゼーションに関する脆弱性
概要	Spring for GraphQL アプリケーションには、ページネーションされた GraphQL クエリを処理する際に安全でないデシリアライズの脆弱性があります。攻撃者は悪意のある GraphQL リクエストを作成でき、アプリケーションがページネーションされた（Connection）フィールドを公開しており、特定のクラスパス上にデシリアライズ時に悪用可能なクラスが存在する場合、リモートコード実行が発生する可能性があります。影響を受けるバージョンは、Spring for GraphQL 2.0.0 から 2.0.3、1.4.0 から 1.4.5、および 1.3.0 から 1.3.8 までです。
想定される影響	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年6月11日0:00
登録日	2026年6月15日11:18
最終更新日	2026年6月15日11:18

影響を受けるシステム

VMware

spring for graphql 1.3.0 以上 1.3.9 未満

spring for graphql 1.4.0 以上 1.4.6 未満

spring for graphql 2.0.0 以上 2.0.4 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-41699	https://www.cve.org/CVERecord?id=CVE-2026-41699
National Vulnerability Database (NVD)
2	CVE-2026-41699	https://nvd.nist.gov/vuln/detail/CVE-2026-41699
Spring Security Advisories
3	CVE-2026-41699: Unsafe Deserialization in Spring GraphQL	https://spring.io/security/cve-2026-41699

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-502	https://cwe.mitre.org/data/definitions/502.html

変更履歴

No	変更内容	変更日
1	[2026年06月15日] 掲載	2026年6月15日11:18

NVD脆弱性情報

CVE-2026-41699

概要	Spring for GraphQL applications are vulnerable to Unsafe Deserialization when processing paginated GraphQL queries. An attacker can craft a malicious GraphQL request that can lead to Remote Code Execution when the application exposes a paginated (Connection) field and the classpath contains specific classes that can be leveraged during deserialization. Affected versions: Spring for GraphQL 2.0.0 through 2.0.3; 1.4.0 through 1.4.5; 1.3.0 through 1.3.8.
公表日	2026年6月11日16:16
登録日	2026年6月12日4:17
最終更新日	2026年6月13日4:28

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:vmware:spring_for_graphql::::::::	1.3.0			1.3.9
cpe:2.3:a:vmware:spring_for_graphql::::::::	1.4.0			1.4.6
cpe:2.3:a:vmware:spring_for_graphql::::::::	2.0.0			2.0.4