PT-2026-34254 · Vmware · Spring Security
Publicado
2026-04-22
·
Atualizado
2026-05-07
·
CVE-2026-22754
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Name of the Vulnerable Software and Affected Versions
Spring Security versões 7.0.0 a 7.0.4
Description
Existe um problema onde o caminho do servlet não é incluído ao computar um correspondente de caminho (path matcher) se uma aplicação utiliza '<sec:intercept-url servlet-path="/servlet-path" pattern="/endpoint/**"/>' para definir o caminho do servlet. Consequentemente, as regras de autorização relacionadas não são exercidas, o que pode levar a uma falha de bypass de autorização.
Recommendations
Atualize o Spring Security para uma versão posterior a 7.0.4.
Correção
RCE
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Spring Security