CVE-2026-22740: DoS en Spring Framework 5.3.0–7.0.7
Plataforma
java
Componente
spring-framework
Corregido en
7.0.7
La vulnerabilidad CVE-2026-22740 es una denegación de servicio (DoS) que afecta a las aplicaciones WebFlux del Spring Framework que procesan solicitudes multipart. Un atacante puede explotar esta vulnerabilidad para consumir espacio en disco al crear archivos temporales que no se eliminan correctamente después del procesamiento de la solicitud. Esta vulnerabilidad afecta a las versiones 5.3.0 hasta 7.0.7 del Spring Framework; la versión 7.0.7 incluye la corrección.
Detecta esta CVE en tu proyecto
Sube tu archivo pom.xml y te decimos al instante si estás afectado.
Impacto y Escenarios de Ataque
La explotación exitosa de esta vulnerabilidad permite a un atacante agotar el espacio en disco del servidor, lo que puede provocar la interrupción del servicio y la imposibilidad de procesar nuevas solicitudes. El impacto principal es la indisponibilidad del servicio WebFlux. Un atacante podría lanzar una serie de solicitudes multipart diseñadas para crear un gran número de archivos temporales, superando rápidamente la capacidad del disco. Esto es particularmente preocupante en entornos con recursos limitados o donde el espacio en disco no está adecuadamente monitoreado. La falta de eliminación de archivos temporales puede también llevar a problemas de rendimiento a largo plazo, incluso si el disco no se llena inmediatamente.
Contexto de Explotación
La vulnerabilidad fue publicada el 29 de abril de 2026. La probabilidad de explotación se considera media (EPSS score pendiente de evaluación). No se han reportado campañas activas de explotación en el momento de la publicación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles desarrollos.
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.05% (15% percentil)
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Bajo — cualquier cuenta de usuario válida es suficiente.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Ninguno — sin impacto en confidencialidad.
- Integrity
- Ninguno — sin impacto en integridad.
- Availability
- Alto — caída completa o agotamiento de recursos. Denegación de servicio total.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Publicada
- EPSS actualizado
Mitigación y Workarounds
La solución recomendada es actualizar a la versión 7.0.7 del Spring Framework, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, se pueden aplicar algunas mitigaciones temporales. Limitar el tamaño máximo de las partes de las solicitudes multipart puede reducir el riesgo de consumo excesivo de espacio en disco. Implementar un mecanismo de limpieza periódica de archivos temporales puede ayudar a mitigar el impacto de la vulnerabilidad. Monitorear el uso del disco es crucial para detectar y responder rápidamente a posibles ataques. Considerar la implementación de reglas en un Web Application Firewall (WAF) para bloquear solicitudes multipart sospechosas.
Cómo corregirlotraduciendo…
Actualice su framework Spring a la versión 5.3.48, 6.1.27, 6.2.18 o 7.0.7 o superior para mitigar el riesgo de denegación de servicio. Asegúrese de revisar las notas de la versión para cualquier cambio importante o incompatibilidades antes de actualizar. Implemente medidas de seguridad adicionales, como limitar el tamaño máximo de las partes de las solicitudes multipart, para reducir aún más la superficie de ataque.
Preguntas frecuentes
What is CVE-2026-22740 — DoS en Spring Framework 5.3.0–7.0.7?
CVE-2026-22740 es una vulnerabilidad de Denegación de Servicio (DoS) en el Spring Framework que permite a un atacante consumir espacio en disco mediante la creación de archivos temporales no eliminados durante el procesamiento de solicitudes multipart.
Am I affected by CVE-2026-22740 en Spring Framework 5.3.0–7.0.7?
Si está utilizando Spring Framework en las versiones 5.3.0 hasta 7.0.7 y su aplicación procesa solicitudes multipart WebFlux, es probable que esté afectado por esta vulnerabilidad.
How do I fix CVE-2026-22740 en Spring Framework 5.3.0–7.0.7?
La solución es actualizar a la versión 7.0.7 del Spring Framework. Si la actualización no es inmediata, aplique mitigaciones temporales como limitar el tamaño de las partes multipart y limpiar periódicamente los archivos temporales.
Is CVE-2026-22740 being actively exploited?
Actualmente no se han reportado campañas activas de explotación, pero se recomienda monitorear las fuentes de inteligencia de amenazas.
Where can I find the official Spring Framework advisory for CVE-2026-22740?
Consulte el sitio web oficial de Spring Framework o el portal de seguridad de VMware para obtener la información más reciente sobre esta vulnerabilidad: [https://www.vmware.com/security/advisories/](https://www.vmware.com/security/advisories/)
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Detecta esta CVE en tu proyecto
Sube tu archivo pom.xml y te decimos al instante si estás afectado.
Escanea tu proyecto Java / Maven ahora — sin cuenta
Sube tu pom.xml y recibís el reporte de vulnerabilidades al instante. Sin cuenta. Subir el archivo es solo el inicio: con una cuenta tenés monitoreo continuo, alertas en Slack/email, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...