Gratis scannen
Analyse in behandelingCVE-2026-22740

CVE-2026-22740: DoS in Spring Framework

Platform

java

Component

spring-framework

Opgelost in

7.0.7

Bekijk op NVD
Opslaan

CVE-2026-22740 is een Denial of Service (DoS) kwetsbaarheid in de Spring Framework, specifiek bij WebFlux server applicaties die multipart-requests verwerken. Deze kwetsbaarheid ontstaat doordat tijdelijke bestanden voor onderdelen groter dan 10 KB worden aangemaakt, maar onder bepaalde omstandigheden niet worden verwijderd na afloop van de request. Dit kan leiden tot een overmatig verbruik van schijfruimte, waardoor de applicatie onbeschikbaar komt te staan. De kwetsbaarheid treft versies 5.3.0 tot en met 7.0.7, en oudere, niet-ondersteunde versies zijn ook kwetsbaar. Een upgrade naar versie 7.0.7 is de aanbevolen oplossing.

Java / Maven

Detecteer deze CVE in je project

Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.

pom.xml uploadenOndersteunde formaten: pom.xml · build.gradle

Impact en Aanvalsscenarios

Een succesvolle exploitatie van CVE-2026-22740 kan leiden tot een Denial of Service (DoS) aanval. Een aanvaller kan een WebFlux server overbelasten door herhaaldelijk grote multipart-requests te versturen. Deze requests leiden tot de creatie van tijdelijke bestanden die niet worden opgeschoond. Naarmate er meer bestanden worden aangemaakt, raakt de schijfruimte vol, waardoor de server geen nieuwe requests meer kan verwerken en uiteindelijk onbeschikbaar wordt. De impact is significant, omdat de applicatie volledig kan uitvallen, wat resulteert in verstoring van de dienstverlening en mogelijk dataverlies. De blast radius is afhankelijk van de configuratie van de server en de beschikbare schijfruimte, maar kan potentieel alle gebruikers van de applicatie beïnvloeden.

Uitbuitingscontext

Op het moment van publicatie is er geen publieke exploitatiecode bekend. De kwetsbaarheid heeft een CVSS score van 6.5 (MEDIUM). Er is geen informatie beschikbaar over actieve campagnes die deze kwetsbaarheid uitbuiten. De kwetsbaarheid is bekend bij CISA en NVD, met publicatiedatum 2026-04-29. De kans op exploitatie wordt als gemiddeld ingeschat, gezien de complexiteit van het uitvoeren van een succesvolle DoS aanval en het ontbreken van publieke exploits.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog

EPSS

0.05% (15% percentiel)

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H6.5MEDIUMAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredLowVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityNoneRisico op blootstelling van gevoelige dataIntegrityNoneRisico op ongeautoriseerde gegevenswijzigingAvailabilityHighRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Laag — elk geldig gebruikersaccount is voldoende.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Geen — geen vertrouwelijkheidsimpact.
Integrity
Geen — geen integriteitsimpact.
Availability
Hoog — volledige crash of uitputting van resources. Totale denial of service.

Getroffen Software

Componentspring-framework
LeverancierVMware
Minimumversie5.3.0
Maximumversie7.0.7
Opgelost in7.0.7

Zwakheidsclassificatie (CWE)

CWE-400

Tijdlijn

  1. Gepubliceerd
  2. EPSS bijgewerkt

Mitigatie en Workarounds

De primaire mitigatie voor CVE-2026-22740 is het upgraden van de Spring Framework naar versie 7.0.7 of hoger. Indien een upgrade direct niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van een mechanisme om tijdelijke bestanden expliciet te verwijderen na afloop van de request. Dit kan bijvoorbeeld door middel van een cronjob of een andere geplande taak. Daarnaast kan het instellen van limieten op de grootte van multipart-onderdelen helpen om het risico te verminderen. Het gebruik van een Web Application Firewall (WAF) kan ook helpen om verdachte multipart-requests te detecteren en te blokkeren. Na de upgrade, controleer de logbestanden op ongebruikelijke activiteit en bevestig dat de tijdelijke bestanden correct worden opgeschoond.

Hoe te verhelpenwordt vertaald…

Actualice su framework Spring a la versión 5.3.48, 6.1.27, 6.2.18 o 7.0.7 o superior para mitigar el riesgo de denegación de servicio.  Asegúrese de revisar las notas de la versión para cualquier cambio importante o incompatibilidades antes de actualizar.  Implemente medidas de seguridad adicionales, como limitar el tamaño máximo de las partes de las solicitudes multipart, para reducir aún más la superficie de ataque.

Veelgestelde vragen

Wat is CVE-2026-22740 — DoS in Spring Framework?

CVE-2026-22740 is een Denial of Service (DoS) kwetsbaarheid in Spring Framework versies 5.3.0 t/m 7.0.7. Aanvallers kunnen schijfruimte verbruiken door grote multipart-requests te versturen.

Am I affected by CVE-2026-22740 in Spring Framework?

Ja, als u Spring Framework versie 5.3.0 tot en met 7.0.7 gebruikt, bent u kwetsbaar. Ook oudere, niet-ondersteunde versies zijn kwetsbaar.

How do I fix CVE-2026-22740 in Spring Framework?

Upgrade naar versie 7.0.7 of hoger. Indien een upgrade niet direct mogelijk is, implementeer dan een mechanisme om tijdelijke bestanden expliciet te verwijderen.

Is CVE-2026-22740 being actively exploited?

Op het moment van publicatie is er geen informatie beschikbaar over actieve exploitatiecampagnes.

Where can I find the official Spring Framework advisory for CVE-2026-22740?

Raadpleeg de officiële Spring Framework website voor de meest recente informatie en advisories: [https://spring.io/security](https://spring.io/security)

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
Java / Maven

Detecteer deze CVE in je project

Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.

pom.xml uploadenOndersteunde formaten: pom.xml · build.gradle
livefree scan

Scan nu uw Java / Maven project — geen account

Upload your pom.xml and get the vulnerability report instantly. No account. Uploading the file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...