Plateforme
java
Composant
spring-security
Corrigé dans
6.4.16
6.5.10
7.0.5
6.5.10
La vulnérabilité CVE-2026-22751 affecte Spring Security, une bibliothèque de sécurité pour les applications Java. Elle se manifeste par une condition de concurrence (Time-of-check Time-of-use - TOCTOU) dans la configuration du login One-Time Token avec JdbcOneTimeTokenService. Cette faille pourrait permettre à un attaquant de manipuler les tokens d'authentification. Les versions concernées sont Spring Security de 6.4.0 à 6.4.15, de 6.5.0 à 6.5.9 et de 7.0.0 à 7.0.4. Une correction est disponible dans la version 6.4.16.
La CVE-2026-22751 affecte les applications Spring utilisant Spring Security et, plus précisément, celles configurant l'authentification par jeton unique (One-Time Token) via JdbcOneTimeTokenService. Il s'agit d'une vulnérabilité de condition de course Time-of-check Time-of-use (TOCTOU). Un attaquant pourrait exploiter une brève fenêtre de temps entre la validation d'un jeton et son utilisation réelle. Si un attaquant peut modifier la base de données entre ces deux points, il pourrait obtenir un accès non autorisé. Les versions concernées sont Spring Security : 6.4.0 à 6.4.15, 6.5.0 à 6.5.9 et 7.0.0 à 7.0.4. La sévérité, selon le CVSS, est de 4.8, ce qui indique un risque moyen.
La vulnérabilité est exploitée par le biais d'une condition de course TOCTOU. Un attaquant pourrait, par exemple, demander un jeton unique, vérifier sa validité, puis, avant que le jeton ne soit utilisé pour authentifier l'utilisateur, modifier la base de données pour invalider ou réutiliser le jeton. Cela permettrait à l'attaquant de contourner l'authentification et d'accéder au système en tant qu'utilisateur légitime. La complexité de l'exploitation dépend de la capacité de l'attaquant à manipuler la base de données et de la configuration de l'application.
Organizations utilizing Spring Security with JdbcOneTimeTokenService for One-Time Token login are at risk. This includes applications with custom authentication flows or those relying on Spring Security's built-in One-Time Token functionality. Specifically, those using Spring Boot applications with default configurations may be vulnerable if they haven't explicitly upgraded.
• java / server:
# Check Spring Security version
java -jar your_application.jar | grep 'Spring Security' • java / server:
# Examine application logs for authentication failures or unusual token activity
grep -i 'one-time token' /path/to/application.log• java / supply-chain:
# Check for vulnerable dependencies using Maven or Gradle
# Example using Maven: mvn dependency:tree | grep 'spring-security' disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour Spring Security vers la version 6.4.16 ou supérieure, 6.5.10 ou supérieure, ou 7.0.5 ou supérieure. Ces versions incluent des correctifs pour atténuer la condition de course TOCTOU. Si une mise à jour immédiate n'est pas possible, envisagez des mesures d'atténuation temporaires telles que la restriction de l'accès à la base de données où les jetons uniques sont stockés, la mise en œuvre de contrôles d'accès plus stricts et la surveillance de l'application à la recherche d'activités suspectes. Il est essentiel d'évaluer le risque spécifique à chaque application et d'appliquer les mesures de sécurité les plus appropriées.
Actualice Spring Security a la versión 6.4.16 o superior, 6.5.10 o superior, o 7.0.5 o superior para mitigar la vulnerabilidad TOCTOU en el servicio JdbcOneTimeTokenService. Esta actualización corrige la condición de carrera que permite la autenticación de múltiples sesiones con un solo token de un solo uso. Revise la documentación oficial de Spring Security para obtener instrucciones detalladas de actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est un type de vulnérabilité qui se produit lorsqu'il existe une fenêtre de temps entre la vérification d'une condition et l'action effectuée sur la base de cette condition. Un attaquant peut exploiter cette fenêtre pour modifier la condition, ce qui entraîne l'exécution de l'action de manière inattendue.
Un score de 4.8 sur l'échelle CVSS indique un risque moyen. Cela signifie que la vulnérabilité peut être exploitée, mais ce n'est pas trivial et nécessite certaines compétences ou un accès.
Mettez en œuvre des mesures d'atténuation temporaires, telles que la restriction de l'accès à la base de données, le renforcement des contrôles d'accès et la surveillance de l'application à la recherche d'activités suspectes.
Non, elle n'affecte que les applications qui utilisent Spring Security et, plus précisément, celles qui configurent l'authentification par jeton unique (One-Time Token) via JdbcOneTimeTokenService.
Vous pouvez trouver plus d'informations dans les notes de publication de Spring Security et dans les bases de données de vulnérabilités telles que le National Vulnerability Database (NVD).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.