VMware Tanzu: Verschiedene Spring-Produkte sind attackierbar

Nutzen Angreifer eine „kritische“ Sicherheitslücke im Authentifizierungs- und Zugriffskontroll-Framework VMware Tanzu Spring Security aus, können sie auf eigentlich geschützte Daten zugreifen. Weitere Softwareschwachstellen gefährden Spring Boot und Framework. Bislang gibt es keine Berichte zu Attacken. Sicherheitsupdates schaffen Abhilfe.

Instanzen vor möglichen Angriffen schützen

Wie aus einer Warnmeldung hervorgeht, sind von der „kritischen“ Lücke (CVE-2026-22732) in Spring Security auch nicht mehr im Support befindliche Versionen bedroht. Im Umgang mit HTTP-Headern kann es zu Fehlern kommen, sodass Angreifer unrechtmäßig auf sensible Daten zugreifen können. Dagegen sind den Entwicklern zufolge die Ausgaben 5.7.22, 5.8.24, 6.3.15, 6.4.15, 6.5.9 und 7.0.4 geschützt.

Im Kontext von Spring Boot können Angreifer unter anderem die Authentifizierung umgehen (etwa CVE-2026-22731 „hoch“). An dieser Stelle sind die Versionen 2.7.32, 3.3.18, 3.4.15, 3.5.12 und 4.0.4 repariert. Nach Attacken auf Spring Framework können Informationen leaken (CVE-2026-22737 „mittel“). Die Schwachstelle ist in den Ausgaben 5.3.47, 6.1.26, 6.2.17 und 7.0.6 geschlossen.

(des)