CVE-2026-22740: DoS in Spring Framework WebFlux
Platform
java
Component
spring-framework
Opgelost in
7.0.7
CVE-2026-22740 is a Denial of Service (DoS) vulnerability discovered in the Spring Framework's WebFlux component. This flaw arises when processing multipart requests where large parts are uploaded. The server creates temporary files for these parts, and under certain conditions, these files may not be properly deleted after the request completes, leading to disk space exhaustion. The vulnerability affects versions 5.3.0 through 7.0.7, and a fix is available in version 7.0.7.
Detecteer deze CVE in je project
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.
Impact en Aanvalsscenarios
De CVE-2026-22740-kwetsbaarheid in het Spring Framework heeft betrekking op WebFlux-serverapplicaties die multipart-verzoeken verwerken. Wanneer grote onderdelen (groter dan 10 KB) worden verwerkt, maakt de applicatie tijdelijke bestanden aan. Onder bepaalde omstandigheden worden deze tijdelijke bestanden mogelijk niet correct verwijderd nadat het verzoek volledig is verwerkt. Dit stelt een aanvaller in staat om persistent beschikbare schijfruimte te verbruiken, wat mogelijk kan leiden tot een denial-of-service (DoS)-conditie door de opslag te overbelasten. Oudere, niet-ondersteunde versies van het Spring Framework zijn ook kwetsbaar. De ernst van de kwetsbaarheid wordt beoordeeld als 6,5 op de CVSS-schaal.
Uitbuitingscontext
Een aanvaller kan deze kwetsbaarheid uitbuiten door herhaaldelijk multipart-verzoeken met grote bestanden te verzenden. Elk verzoek zou een tijdelijk bestand creëren dat, indien niet correct verwijderd, op de schijf blijft staan. Door dit proces te herhalen, kan de aanvaller geleidelijk de schijfruimte van de server vullen, waardoor andere applicaties of services niet meer correct kunnen functioneren. De mate van uitbuitbaarheid hangt af van de serverconfiguratie en beveiligingsbeleid, maar de kwetsbaarheid is inherent uitbuitbaar als de correctie niet wordt toegepast.
Dreigingsinformatie
Exploit Status
EPSS
0.05% (15% percentiel)
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
- Privileges Required
- Laag — elk geldig gebruikersaccount is voldoende.
- User Interaction
- Geen — automatische en stille aanval. Slachtoffer doet niets.
- Scope
- Ongewijzigd — impact beperkt tot het kwetsbare component.
- Confidentiality
- Geen — geen vertrouwelijkheidsimpact.
- Integrity
- Geen — geen integriteitsimpact.
- Availability
- Hoog — volledige crash of uitputting van resources. Totale denial of service.
Getroffen Software
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gepubliceerd
- EPSS bijgewerkt
Mitigatie en Workarounds
De primaire mitigatie voor CVE-2026-22740 is het upgraden naar Spring Framework versie 7.0.7. Deze versie bevat een correctie die ervoor zorgt dat tijdelijke bestanden correct worden verwijderd nadat multipart-verzoeken zijn verwerkt. Als een onmiddellijke upgrade niet mogelijk is, implementeer dan schijfruimtebewaking om ongebruikelijk verbruik te detecteren. Overweeg om bestandsgroottebeperkingen binnen de applicatie te configureren om de creatie van overmatig grote tijdelijke bestanden te voorkomen. Snel handelen is cruciaal om uw systemen te beschermen.
Hoe te verhelpenwordt vertaald…
Actualice su framework Spring a la versión 5.3.48, 6.1.27, 6.2.18 o 7.0.7 o superior para mitigar el riesgo de denegación de servicio. Asegúrese de revisar las notas de la versión para cualquier cambio importante o incompatibilidades antes de actualizar. Implemente medidas de seguridad adicionales, como limitar el tamaño máximo de las partes de las solicitudes multipart, para reducir aún más la superficie de ataque.
Veelgestelde vragen
Wat is CVE-2026-22740 — DoS in Spring Framework?
Alle versies die WebFlux gebruiken en multipart-verzoeken verwerken, zijn mogelijk kwetsbaar. Oudere, niet-ondersteunde versies lopen bijzonder risico.
Ben ik getroffen door CVE-2026-22740 in Spring Framework?
Controleer de versie van het Spring Framework die wordt gebruikt. Als deze ouder is dan 7.0.7 en WebFlux gebruikt voor multipart-verwerkingsverzoeken, is deze waarschijnlijk kwetsbaar.
Hoe los ik CVE-2026-22740 in Spring Framework op?
Implementeer schijfruimtebewaking en overweeg om de grootte van geüploade bestanden te beperken.
Wordt CVE-2026-22740 actief misbruikt?
Ja, een aanvaller kan de schijfruimte van de server vullen, wat leidt tot een denial-of-service.
Waar vind ik het officiële Spring Framework-beveiligingsadvies voor CVE-2026-22740?
Kwetsbaarheidsscanners kunnen deze kwetsbaarheid in uw Spring Framework-applicatie detecteren.
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Detecteer deze CVE in je project
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.
Scan nu uw Java / Maven project — geen account
Upload your pom.xml and get the vulnerability report instantly. No account. Uploading the file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.
Sleep uw afhankelijkheidsbestand hierheen
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...