CVE-2026-41002

Nome do Software Vulnerável e Versões Afetadas Spring Cloud Config versões 3.1.0 até 3.1.13 Spring Cloud Config versões 4.1.0 até 4.1.9 Spring Cloud Config versões 4.2.0 até 4.2.6 Spring Cloud Config versões 4.3.0 até 4.3.2 Spring Cloud Config versões 5.0.0 até 5.0.2

Descrição O diretório base spring.cloud.config.server.git.basedir usado pelo Spring Cloud Config Server para clonar repositórios Git está suscetível a ataques de time-of-check-time-of-use (TOCTOU). TOCTOU é uma condição de corrida onde um sistema verifica o estado de um recurso e então executa uma ação com base nesse estado, mas o recurso é modificado entre a verificação e a ação.

Recomendações Atualizar versões 3.1.0 até 3.1.13 para 3.1.14 ou superior. Atualizar versões 4.1.0 até 4.1.9 para 4.1.10 ou superior. Atualizar versões 4.2.0 até 4.2.6 para 4.2.7 ou superior. Atualizar versões 4.3.0 até 4.3.2 para 4.3.3 ou superior. Atualizar versões 5.0.0 até 5.0.2 para 5.0.3 ou superior.