CVE-2026-40976
🟠 Łataj w tym tygodniu
Brak skutecznej ochrony w Spring Boot pozwala na nieautoryzowany dostęp do wszystkich punktów końcowych.
CVSS
9.1
EPSS
0.0%
Exploit
none
Vendor
vmware
Opis źródłowy (NVD)
In certain circumstances, Spring Boot's default web security is ineffective allowing unauthorized access to all endpoints. For an application to be vulnerable, it must: be a servlet-based web application; have no Spring Security configuration of its own and rely on the default web security filter chain; depend on spring-boot-actuator-autoconfigure; not depend on spring-boot-health. If any of the above does not apply, the application is not vulnerable. Affected: Spring Boot 4.0.0–4.0.5; upgrade to 4.0.6 or later per vendor advisory.
brak
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 9.1 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.0% |
| Opublikowano (NVD) | 2026-04-28 00:16:24 UTC |
| Ostatnia modyfikacja (NVD) | 2026-04-30 13:54:12 UTC |
Referencje
- https://spring.io/security/cve-2026-40976 (security@vmware.com) [Vendor Advisory]