PT-2026-38329 · Google+1 · Google Secrets Manager+1
Publicado
2026-05-07
·
Atualizado
2026-05-12
·
CVE-2026-40981
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Spring Cloud Config versões 3.1.0 até 3.1.13
Spring Cloud Config versões 4.1.0 até 4.1.9
Spring Cloud Config versões 4.2.0 até 4.2.6
Spring Cloud Config versões 4.3.0 até 4.3.2
Spring Cloud Config versões 5.0.0 até 5.0.2
Descrição
Ao usar o Google Secrets Manager como backend para o servidor Spring Cloud Config, um cliente pode elaborar uma solicitação ao servidor de configuração que potencialmente expõe segredos de projetos GCP não pretendidos.
Recomendações
Atualizar as versões 3.1.0 até 3.1.13 para 3.1.14 ou superior.
Atualizar as versões 4.1.0 até 4.1.9 para 4.1.10 ou superior.
Atualizar as versões 4.2.0 até 4.2.6 para 4.2.7 ou superior.
Atualizar as versões 4.3.0 até 4.3.2 para 4.3.3 ou superior.
Atualizar as versões 5.0.0 até 5.0.2 para 5.0.3 ou superior.
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Google Secrets Manager
Spring Cloud Config