無料スキャン
分析待ちCVE-2026-22740

CVE-2026-22740: DoS in Spring Framework

プラットフォーム

java

コンポーネント

spring-framework

修正版

7.0.7

NVDで見る
保存

CVE-2026-22740は、Spring Frameworkにおけるサービス拒否(DoS)脆弱性です。multipartリクエストを処理するWebFluxサーバーアプリケーションにおいて、一時ファイルが適切に削除されない場合があり、攻撃者によってディスク容量が消費される可能性があります。この脆弱性は、Spring Framework 5.3.0から7.0.7までのバージョンに影響を与えます。バージョン7.0.7へのアップデートで修正されています。

Java / Maven

このCVEがあなたのプロジェクトに影響するか確認

pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。

pom.xml をアップロード対応フォーマット: pom.xml · build.gradle

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者は大量のmultipartリクエストを送信し、各リクエストで大きな一時ファイルを生成することができます。これらのファイルが適切に削除されない場合、サーバーのディスク容量が枯渇し、サービス拒否状態に陥る可能性があります。攻撃者は、サーバーをダウンさせ、他のユーザーへのサービス提供を妨害することができます。特に、multipartファイルアップロード機能を頻繁に使用するアプリケーションや、リクエストサイズに対する制限が不十分な環境において、深刻な影響を受ける可能性があります。

悪用の状況

この脆弱性は、2026年4月29日に公開されました。現時点では、公開されているPoCは確認されていませんが、DoS攻撃の可能性は否定できません。NVDおよびCISAの情報を注視し、最新の情報を収集してください。severity pending evaluation.

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.05% (15% パーセンタイル)

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H6.5MEDIUMAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredLow攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityNone機密データ漏洩のリスクIntegrityNone不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
低 — 有効なユーザーアカウントがあれば十分。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
なし — 機密性への影響なし。
Integrity
なし — 完全性への影響なし。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントspring-framework
ベンダーVMware
最小バージョン5.3.0
最大バージョン7.0.7
修正版7.0.7

弱点分類 (CWE)

CWE-400

タイムライン

  1. 公開日
  2. EPSS 更新日

緩和策と回避策

Spring Framework 7.0.7へのアップデートが推奨されます。アップデートできない場合は、multipartリクエストの最大サイズを制限するなどの緩和策を講じることができます。WAF(Web Application Firewall)を導入し、異常なmultipartリクエストを検知・遮断することも有効です。また、一時ファイルの削除処理が正常に動作しているか定期的に監視し、ディスク容量の使用状況を監視することも重要です。アップデート後、一時ファイルが適切に削除されていることを確認してください。

修正方法翻訳中…

Actualice su framework Spring a la versión 5.3.48, 6.1.27, 6.2.18 o 7.0.7 o superior para mitigar el riesgo de denegación de servicio.  Asegúrese de revisar las notas de la versión para cualquier cambio importante o incompatibilidades antes de actualizar.  Implemente medidas de seguridad adicionales, como limitar el tamaño máximo de las partes de las solicitudes multipart, para reducir aún más la superficie de ataque.

よくある質問

CVE-2026-22740 — DoS in Spring Frameworkとは何ですか?

CVE-2026-22740は、Spring Framework 5.3.0~7.0.7におけるmultipartリクエスト処理の不備により発生するサービス拒否(DoS)脆弱性です。攻撃者は一時ファイルを生成し、ディスク容量を枯渇させる可能性があります。

CVE-2026-22740 in Spring Frameworkの影響はありますか?

はい、Spring Framework 5.3.0から7.0.7を使用しているWebFluxアプリケーションは、DoS攻撃を受けるリスクがあります。攻撃者はサーバーのディスク容量を消費し、サービスを停止させる可能性があります。

CVE-2026-22740 in Spring Frameworkを修正するにはどうすればよいですか?

Spring Framework 7.0.7へのアップデートが推奨されます。アップデートできない場合は、multipartリクエストの最大サイズを制限するなどの緩和策を講じてください。

CVE-2026-22740は積極的に悪用されていますか?

現時点では、公開されているPoCは確認されていませんが、DoS攻撃の可能性は否定できません。最新の情報を収集し、セキュリティ対策を強化してください。

CVE-2026-22740に関するSpring Frameworkの公式アドバイザリはどこで入手できますか?

Spring Frameworkの公式アドバイザリは、Spring Securityのウェブサイトで確認できます。https://spring.io/security/cve-2026-22740

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
Java / Maven

このCVEがあなたのプロジェクトに影響するか確認

pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。

pom.xml をアップロード対応フォーマット: pom.xml · build.gradle
scanZone.liveBadgescanZone.eyebrow

Java / Mavenプロジェクトを今すぐスキャン — アカウント不要

Upload your pom.xml and get the vulnerability report instantly. No account. Uploading the file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...