製品・ソフトウェアに関する情報

JVN脆弱性詳細

VMwareのspring for apache kafkaにおける信頼できないデータのデシリアライゼーションに関する脆弱性

タイトル	VMwareのspring for apache kafkaにおける信頼できないデータのデシリアライゼーションに関する脆弱性
概要	JsonKafkaHeaderMapperおよび非推奨のDefaultKafkaHeaderMapperは、信頼されたパッケージに対してプレフィックスチェックを使用して型ヘッダーを照合していましたが、任意のパッケージを信頼すると、そのサブパッケージもすべて暗黙的に信頼される問題がありました。これがJacksonのデフォルトのビーンデシリアライズと組み合わさることで、プロデューサーが細工されたヘッダー値を供給し、コンシューマが任意のJDKタイプをデシリアライズしてしまう可能性がありました。影響を受けるバージョンは、Apache Kafka向けSpringの4.0.0から4.0.5、3.3.0から3.3.15、3.2.0から3.2.13、2.9.0から2.9.13、そして2.8.0から2.8.11です。
想定される影響	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年6月10日0:00
登録日	2026年6月23日10:00
最終更新日	2026年6月23日10:00

影響を受けるシステム

VMware

spring for apache kafka 2.8.0 から 2.8.11

spring for apache kafka 2.9.0 から 2.9.13

spring for apache kafka 3.2.0 から 3.2.13

spring for apache kafka 3.3.0 から 3.3.15

spring for apache kafka 4.0.0 から 4.0.5

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-41731	https://www.cve.org/CVERecord?id=CVE-2026-41731
National Vulnerability Database (NVD)
2	CVE-2026-41731	https://nvd.nist.gov/vuln/detail/CVE-2026-41731
Spring Security Advisories
3	CVE-2026-41731: In Spring for Apache Kafka, overly broad trusted-package matching in header mappers exposes JDK classes to deserialization	https://spring.io/security/cve-2026-41731

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-502	https://cwe.mitre.org/data/definitions/502.html

変更履歴

No	変更内容	変更日
1	[2026年06月23日] 掲載	2026年6月23日10:00

NVD脆弱性情報

CVE-2026-41731

概要	JsonKafkaHeaderMapper and the deprecated DefaultKafkaHeaderMapper matched type headers against trusted packages using a prefix check, meaning that trusting any package implicitly trusted all of its subpackages. Combined with Jackson's default bean deserialization, a producer could supply crafted header values that caused the consumer to deserialize arbitrary JDK types. Affected versions: Spring for Apache Kafka 4.0.0 through 4.0.5; 3.3.0 through 3.3.15; 3.2.0 through 3.2.13; 2.9.0 through 2.9.13; 2.8.0 through 2.8.11.
公表日	2026年6月10日9:16
登録日	2026年6月11日4:16
最終更新日	2026年6月10日9:16