CVE-2026-40982

Nome do Software Vulnerável e Versões Afetadas Spring Cloud Config versões 3.1.0 até 3.1.13 Spring Cloud Config versões 4.1.0 até 4.1.9 Spring Cloud Config versões 4.2.0 até 4.2.6 Spring Cloud Config versões 4.3.0 até 4.3.2 Spring Cloud Config versões 5.0.0 até 5.0.2

Descrição O módulo spring-cloud-config-server permite que as aplicações sirvam arquivos de texto e binários arbitrários. Um usuário mal-intencionado pode enviar uma requisição usando uma URL especialmente elaborada para realizar um ataque de directory traversal (salto de diretório), que é uma técnica usada para acessar arquivos e diretórios armazenados fora da pasta pretendida. Além disso, foi identificado um vazamento de segredos do GCP.

Recomendações Atualizar as versões 3.1.0 até 3.1.13 para 3.1.14 ou superior. Atualizar as versões 4.1.0 até 4.1.9 para 4.1.10 ou superior. Atualizar as versões 4.2.0 até 4.2.6 para 4.2.7 ou superior. Atualizar as versões 4.3.0 até 4.3.2 para 4.3.3 ou superior. Atualizar as versões 5.0.0 até 5.0.2 para 5.0.3 ou superior.