CVE-2026-22740: DoS in Spring Framework WebFlux
プラットフォーム
java
コンポーネント
spring-framework
修正版
7.0.7
CVE-2026-22740 is a Denial of Service (DoS) vulnerability discovered in the Spring Framework's WebFlux component. This flaw arises when processing multipart requests where large parts are uploaded. The server creates temporary files for these parts, and under certain conditions, these files may not be properly deleted after the request completes, leading to disk space exhaustion. The vulnerability affects versions 5.3.0 through 7.0.7, and a fix is available in version 7.0.7.
このCVEがあなたのプロジェクトに影響するか確認
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。
影響と攻撃シナリオ
Spring Framework の CVE-2026-22740 は、multipart リクエストを処理する WebFlux サーバーアプリケーションに影響を与えます。10 KB を超える大きなパーツを処理する場合、アプリケーションは一時ファイルを生成します。特定の状況下では、これらの一時ファイルはリクエストの処理が完了した後、正しく削除されないことがあります。これにより、攻撃者は利用可能なディスクスペースを継続的に消費し、ストレージを使い果たしてサービス拒否 (DoS) 状態を引き起こす可能性があります。古い、サポートされていないバージョンの Spring Framework も影響を受けます。この脆弱性の重大度は、CVSS スケールで 6.5 と評価されています。
悪用の状況
攻撃者は、大きなファイルを含む multipart リクエストを繰り返し送信することで、この脆弱性を悪用する可能性があります。各リクエストは一時ファイルを作成し、正しく削除されない場合、ディスクに残り続けます。このプロセスを繰り返すことで、攻撃者はサーバーのディスクスペースを徐々に埋め、他のアプリケーションやサービスが正常に機能しなくなる可能性があります。悪用のしやすさは、サーバーの構成とセキュリティポリシーに依存しますが、修正が適用されない場合は、この脆弱性は本質的に悪用可能です。
脅威インテリジェンス
エクスプロイト状況
EPSS
0.05% (15% パーセンタイル)
CVSS ベクトル
これらのメトリクスの意味は?
- Attack Vector
- ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
- Attack Complexity
- 低 — 特別な条件不要。安定して悪用可能。
- Privileges Required
- 低 — 有効なユーザーアカウントがあれば十分。
- User Interaction
- なし — 自動かつ無音の攻撃。被害者は何もしない。
- Scope
- 変化なし — 影響は脆弱なコンポーネントのみ。
- Confidentiality
- なし — 機密性への影響なし。
- Integrity
- なし — 完全性への影響なし。
- Availability
- 高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。
影響を受けるソフトウェア
弱点分類 (CWE)
タイムライン
- 公開日
- EPSS 更新日
緩和策と回避策
CVE-2026-22740 の主な軽減策は、Spring Framework をバージョン 7.0.7 にアップグレードすることです。このバージョンには、multipart リクエストの処理後に一時ファイルが適切に削除されることを保証する修正が含まれています。直ちにアップグレードできない場合は、ディスクスペースの監視を実装して、異常な消費を検出してください。アプリケーション内でファイルサイズ制限を設定することを検討して、過度に大きな一時ファイルの作成を回避してください。システムを保護するために、迅速な対応が不可欠です。
修正方法翻訳中…
Actualice su framework Spring a la versión 5.3.48, 6.1.27, 6.2.18 o 7.0.7 o superior para mitigar el riesgo de denegación de servicio. Asegúrese de revisar las notas de la versión para cualquier cambio importante o incompatibilidades antes de actualizar. Implemente medidas de seguridad adicionales, como limitar el tamaño máximo de las partes de las solicitudes multipart, para reducir aún más la superficie de ataque.
よくある質問
CVE-2026-22740 とは何ですか?(Spring Framework の DoS)
WebFlux を使用して multipart リクエストを処理するすべてのバージョンが潜在的に影響を受けます。古い、サポートされていないバージョンは特にリスクが高くなります。
Spring Framework の CVE-2026-22740 による影響を受けていますか?
使用されている Spring Framework のバージョンを確認してください。7.0.7 より前のバージョンで WebFlux を使用して multipart リクエストを処理している場合は、脆弱である可能性があります。
Spring Framework の CVE-2026-22740 を修正するにはどうすればよいですか?
ディスクスペースの監視を実装し、アップロードされたファイルのサイズを制限することを検討してください。
CVE-2026-22740 は積極的に悪用されていますか?
はい、攻撃者はサーバーのディスクスペースを埋め、サービス拒否を引き起こす可能性があります。
CVE-2026-22740 に関する Spring Framework の公式アドバイザリはどこで確認できますか?
脆弱性スキャンツールは、Spring Framework アプリケーションでこの脆弱性を検出できます。
このCVEがあなたのプロジェクトに影響するか確認
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。
Java / Mavenプロジェクトを今すぐスキャン — アカウント不要
Upload your pom.xml and get the vulnerability report instantly. No account. Uploading the file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.
依存関係ファイルをドラッグ&ドロップ
composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...