CVE-2026-22740: DoS in Spring Framework
Plateforme
java
Composant
spring-framework
Corrigé dans
7.0.7
La vulnérabilité CVE-2026-22740 concerne une faille de déni de service (DoS) dans le Spring Framework. Elle se manifeste lorsque des applications WebFlux traitant des requêtes multipart créent des fichiers temporaires pour les parties de requête dépassant 10 Ko. Dans certaines circonstances, ces fichiers temporaires peuvent ne pas être supprimés après le traitement complet de la requête, permettant à un attaquant d'épuiser l'espace disque disponible. Les versions 5.3.0 à 7.0.7 sont affectées.
Détecte cette CVE dans ton projet
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.
Impact et Scénarios d'Attaque
Un attaquant peut exploiter cette vulnérabilité en envoyant des requêtes multipart contenant des parties de fichiers volumineuses. Si les fichiers temporaires ne sont pas correctement supprimés après le traitement, l'attaquant peut progressivement remplir l'espace disque du serveur, entraînant un déni de service. Cela peut rendre le service indisponible pour les utilisateurs légitimes et potentiellement affecter d'autres applications s'exécutant sur le même serveur. L'impact est particulièrement critique pour les applications hébergeant des services critiques ou traitant des données sensibles, car une indisponibilité prolongée peut entraîner des pertes financières, une atteinte à la réputation et des violations de conformité.
Contexte d'Exploitation
La vulnérabilité CVE-2026-22740 a été publiée le 29 avril 2026. Sa probabilité d'exploitation est considérée comme moyenne. Il n'existe actuellement pas de preuves publiques d'exploitation active de cette vulnérabilité, mais la nature de la faille DoS la rend potentiellement exploitable par des attaquants cherchant à perturber la disponibilité des services. Il est conseillé de surveiller les sources d'informations sur les menaces pour détecter d'éventuelles campagnes d'exploitation.
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.05% (percentile 15%)
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Faible — tout compte utilisateur valide est suffisant.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Aucun — aucun impact sur la confidentialité.
- Integrity
- Aucun — aucun impact sur l'intégrité.
- Availability
- Élevé — panne complète ou épuisement des ressources. Déni de service total.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Publiée
- EPSS mis à jour
Mitigation et Contournements
La solution recommandée est de mettre à jour le Spring Framework vers la version 7.0.7 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation peuvent être mises en œuvre. Il est possible de configurer le serveur pour limiter la taille maximale des fichiers temporaires ou pour supprimer automatiquement les fichiers temporaires après un certain temps. L'utilisation d'un pare-feu d'application web (WAF) peut également aider à bloquer les requêtes multipart malveillantes. Après la mise à jour, vérifiez que les fichiers temporaires sont correctement supprimés après le traitement des requêtes multipart en surveillant l'utilisation de l'espace disque.
Comment corrigertraduction en cours…
Actualice su framework Spring a la versión 5.3.48, 6.1.27, 6.2.18 o 7.0.7 o superior para mitigar el riesgo de denegación de servicio. Asegúrese de revisar las notas de la versión para cualquier cambio importante o incompatibilidades antes de actualizar. Implemente medidas de seguridad adicionales, como limitar el tamaño máximo de las partes de las solicitudes multipart, para reducir aún más la superficie de ataque.
Questions fréquentes
Qu'est-ce que CVE-2026-22740 — DoS dans Spring Framework ?
CVE-2026-22740 est une vulnérabilité de déni de service (DoS) dans Spring Framework. Elle permet à un attaquant d'épuiser l'espace disque en créant des fichiers temporaires non supprimés lors du traitement de requêtes multipart.
Suis-je affecté par CVE-2026-22740 dans Spring Framework ?
Vous êtes affecté si vous utilisez Spring Framework versions 5.3.0 à 7.0.7 et que votre application traite des requêtes multipart.
Comment corriger CVE-2026-22740 dans Spring Framework ?
La solution est de mettre à jour Spring Framework vers la version 7.0.7 ou supérieure. En attendant, appliquez des mesures d'atténuation comme la limitation de la taille des fichiers temporaires.
CVE-2026-22740 est-il activement exploité ?
À ce jour, il n'y a pas de preuves publiques d'exploitation active, mais la nature de la vulnérabilité DoS la rend potentiellement exploitable.
Où puis-je trouver l'avis officiel de Spring Framework pour CVE-2026-22740 ?
Consultez le site web de Spring Framework pour l'avis de sécurité officiel concernant CVE-2026-22740. L'URL exacte sera disponible sur le site de Spring dès sa publication.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Détecte cette CVE dans ton projet
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.
Scannez votre projet Java / Maven maintenant — sans compte
Téléchargez votre pom.xml et obtenez le rapport de vulnérabilité instantanément. Pas de compte. Le téléchargement du fichier n'est qu'un début : avec un compte, vous bénéficiez d'une surveillance continue, d'alertes Slack/e-mail, de rapports multi-projets et en marque blanche.
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...