CVE-2026-22748

Name of the Vulnerable Software and Affected Versions Spring Spring Security versões 6.3.0 até 6.3.14 Spring Spring Security versões 6.4.0 até 6.4.14 Spring Spring Security versões 6.5.0 até 6.5.9 Spring Spring Security versões 7.0.0 até 7.0.4

Description Existe um problema quando uma aplicação configura a decodificação de JWT utilizando NimbusJwtDecoder ou NimbusReactiveJwtDecoder. Nesses casos, um OAuth2TokenValidator<Jwt> deve ser configurado separadamente, por exemplo, chamando a função setJwtValidator.

Recommendations Para as versões 6.3.0 até 6.3.14, configure um OAuth2TokenValidator<Jwt> separadamente chamando setJwtValidator ao usar NimbusJwtDecoder ou NimbusReactiveJwtDecoder. Para as versões 6.4.0 até 6.4.14, configure um OAuth2TokenValidator<Jwt> separadamente chamando setJwtValidator ao usar NimbusJwtDecoder ou NimbusReactiveJwtDecoder. Para as versões 6.5.0 até 6.5.9, configure um OAuth2TokenValidator<Jwt> separadamente chamando setJwtValidator ao usar NimbusJwtDecoder ou NimbusReactiveJwtDecoder. Para as versões 7.0.0 até 7.0.4, configure um OAuth2TokenValidator<Jwt> separadamente chamando setJwtValidator ao usar NimbusJwtDecoder ou NimbusReactiveJwtDecoder.