विश्लेषण प्रतीक्षितCVE-2026-22740

CVE-2026-22740: DoS in Spring Framework

प्लेटफ़ॉर्म

java

घटक

spring-framework

में ठीक किया गया

7.0.7

NVD पर देखें

सहेजें

CVE-2026-22740 Spring Framework में एक Denial of Service (DoS) भेद्यता है। यह भेद्यता तब उत्पन्न होती है जब वेबफ़्लक्स सर्वर एप्लिकेशन मल्टीपार्ट अनुरोधों को संसाधित करते समय बड़ी अस्थायी फ़ाइलों का निर्माण करता है, जो अनुरोध के पूरा होने के बाद भी हटाए नहीं जाते हैं। इससे हमलावर उपलब्ध डिस्क स्थान को समाप्त कर सकता है। प्रभावित संस्करण 5.3.0 से 7.0.7 तक हैं, और संस्करण 7.0.7 में इस समस्या का समाधान किया गया है।

Java / Maven

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

pom.xml अपलोड करेंसमर्थित प्रारूप: pom.xml · build.gradle

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को सिस्टम को सेवा से वंचित करने की अनुमति देती है। एक हमलावर जानबूझकर बड़ी मल्टीपार्ट फ़ाइलों को भेजकर, अस्थायी फ़ाइलों को जमा कर सकता है जो हटाए नहीं जाते हैं। जैसे-जैसे अस्थायी फ़ाइलें जमा होती रहती हैं, डिस्क स्थान समाप्त हो जाता है, जिससे एप्लिकेशन और संभवतः संपूर्ण सर्वर अस्थिर हो जाता है या अनुपलब्ध हो जाता है। यह विशेष रूप से उन वातावरणों में गंभीर हो सकता है जहां डिस्क स्थान सीमित है या जहां कई अनुरोधों को एक साथ संसाधित किया जा रहा है। इस भेद्यता का शोषण करने के लिए विशेष रूप से जटिल सेटअप की आवश्यकता नहीं होती है, जिससे यह व्यापक रूप से शोषण के लिए अतिसंवेदनशील हो जाता है।

शोषण संदर्भ

CVE-2026-22740 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी प्रकृति के कारण, यह शोषण के लिए अतिसंवेदनशील है। इस भेद्यता की गंभीरता मध्यम है, और सार्वजनिक रूप से उपलब्ध शोषण प्रमाण (POC) मौजूद हो सकते हैं। CISA ने इस भेद्यता के बारे में जानकारी जारी की है। KEV स्थिति अभी भी मूल्यांकन के अधीन है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात

CISA KEVNO

इंटरनेट एक्सपोज़रउच्च

EPSS

0.05% (15% शतमक)

CVSS वेक्टर

इन मेट्रिक्स का क्या मतलब है?

Attack Vector: नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity: निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required: निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction: कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope: अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality: कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
Integrity: कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
Availability: उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकspring-framework

विक्रेताVMware

न्यूनतम संस्करण5.3.0

अधिकतम संस्करण7.0.7

में ठीक किया गया7.0.7

कमजोरी वर्गीकरण (CWE)

CWE-400

समयरेखा

प्रकाशित2026-04-29
EPSS अद्यतन2026-05-06

शमन और वर्कअराउंड

CVE-2026-22740 के लिए प्राथमिक शमन उपाय Spring Framework को संस्करण 7.0.7 या उच्चतर में अपग्रेड करना है। यदि अपग्रेड तत्काल संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेबफ़्लक्स एप्लिकेशन के लिए अस्थायी फ़ाइल आकार सीमा को कम करने पर विचार कर सकते हैं। इसके अतिरिक्त, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या रिवर्स प्रॉक्सी को कॉन्फ़िगर किया जा सकता है ताकि असामान्य रूप से बड़ी मल्टीपार्ट फ़ाइलों को ब्लॉक किया जा सके। सुनिश्चित करें कि आपके सर्वर पर डिस्क स्थान की निगरानी की जा रही है और पर्याप्त स्थान उपलब्ध है। अपग्रेड के बाद, यह सत्यापित करें कि अस्थायी फ़ाइलें अनुरोधों के पूरा होने के बाद ठीक से हटा दी जा रही हैं, उदाहरण के लिए, लॉग की निगरानी करके या डिस्क उपयोग की जांच करके।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice su framework Spring a la versión 5.3.48, 6.1.27, 6.2.18 o 7.0.7 o superior para mitigar el riesgo de denegación de servicio.  Asegúrese de revisar las notas de la versión para cualquier cambio importante o incompatibilidades antes de actualizar.  Implemente medidas de seguridad adicionales, como limitar el tamaño máximo de las partes de las solicitudes multipart, para reducir aún más la superficie de ataque.

अक्सर पूछे जाने वाले सवाल

CVE-2026-22740 — DoS Spring Framework में क्या है?

CVE-2026-22740 Spring Framework में एक Denial of Service (DoS) भेद्यता है जो मल्टीपार्ट अनुरोधों को संसाधित करते समय अस्थायी फ़ाइलों के अनुचित प्रबंधन के कारण होती है, जिससे डिस्क स्थान समाप्त हो सकता है।

क्या मैं CVE-2026-22740 में Spring Framework से प्रभावित हूं?

यदि आप Spring Framework के संस्करण 5.3.0 से 7.0.7 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं Spring Framework में CVE-2026-22740 को कैसे ठीक करूं?

CVE-2026-22740 को ठीक करने के लिए, Spring Framework को संस्करण 7.0.7 या उच्चतर में अपग्रेड करें। यदि अपग्रेड तत्काल संभव नहीं है, तो अस्थायी फ़ाइल आकार सीमा को कम करने पर विचार करें।

क्या CVE-2026-22740 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2026-22740 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी प्रकृति के कारण, यह शोषण के लिए अतिसंवेदनशील है।

मैं CVE-2026-22740 के लिए Spring Framework के आधिकारिक सलाहकार कहां पा सकता हूं?

आप Spring Framework के आधिकारिक सलाहकार को यहां पा सकते हैं: [https://tanzu.vmware.com/security/cve-2026-22740](https://tanzu.vmware.com/security/cve-2026-22740)

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें CVE खोजें

Java / Maven

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

pom.xml अपलोड करेंसमर्थित प्रारूप: pom.xml · build.gradle

liveमुफ्त स्कैन

अपने Java / Maven प्रोजेक्ट को अभी स्कैन करें — कोई खाता नहीं

Upload your pom.xml and get the vulnerability report instantly. No account. Uploading the file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...

फ़ाइलें ब्राउज़ करें