Platform
java
Component
spring-security
Opgelost in
6.4.16
6.5.10
7.0.5
6.5.10
Een Time-of-check Time-of-use (TOCTOU) race condition is ontdekt in Spring Security. Deze kwetsbaarheid treedt op wanneer applicaties One-Time Token login expliciet configureren met JdbcOneTimeTokenService. Door deze race condition kunnen aanvallers mogelijk ongeautoriseerde toegang verkrijgen. De kwetsbaarheid beïnvloedt Spring Security versies 6.4.0 t/m 6.4.15, 6.5.0 t/m 6.5.9 en 7.0.0 t/m 7.0.4. Een fix is beschikbaar in versie 6.4.16.
CVE-2026-22751 treft Spring-applicaties die Spring Security gebruiken en specifiek die welke de One-Time Token-login configureren via JdbcOneTimeTokenService. Dit is een Time-of-check Time-of-use (TOCTOU) race condition kwetsbaarheid. Een aanvaller kan een kort tijdsbestek tussen de validatie van een token en het daadwerkelijke gebruik ervan uitbuiten. Als een aanvaller de database tussen deze twee punten kan wijzigen, kan hij ongeautoriseerde toegang krijgen. Betrokken versies zijn Spring Security: 6.4.0 tot 6.4.15, 6.5.0 tot 6.5.9 en 7.0.0 tot 7.0.4. De ernst, volgens CVSS, is 4.8, wat een gemiddeld risico aangeeft.
De kwetsbaarheid wordt uitgebuit via een TOCTOU race condition. Een aanvaller kan bijvoorbeeld een One-Time Token aanvragen, de geldigheid ervan verifiëren en vervolgens, voordat de token wordt gebruikt om de gebruiker te authenticeren, de database wijzigen om de token ongeldig te maken of opnieuw te gebruiken. Dit zou de aanvaller in staat stellen de authenticatie te omzeilen en als een legitieme gebruiker toegang te krijgen tot het systeem. De complexiteit van de exploitatie hangt af van het vermogen van de aanvaller om de database te manipuleren en de configuratie van de applicatie.
Organizations utilizing Spring Security with JdbcOneTimeTokenService for One-Time Token login are at risk. This includes applications with custom authentication flows or those relying on Spring Security's built-in One-Time Token functionality. Specifically, those using Spring Boot applications with default configurations may be vulnerable if they haven't explicitly upgraded.
• java / server:
# Check Spring Security version
java -jar your_application.jar | grep 'Spring Security' • java / server:
# Examine application logs for authentication failures or unusual token activity
grep -i 'one-time token' /path/to/application.log• java / supply-chain:
# Check for vulnerable dependencies using Maven or Gradle
# Example using Maven: mvn dependency:tree | grep 'spring-security' disclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De meest effectieve oplossing is het upgraden van Spring Security naar versie 6.4.16 of hoger, 6.5.10 of hoger, of 7.0.5 of hoger. Deze versies bevatten fixes om de TOCTOU race condition te mitigeren. Als een onmiddellijke upgrade niet mogelijk is, overweeg dan tijdelijke mitigerende maatregelen, zoals het beperken van de toegang tot de database waar One-Time Tokens worden opgeslagen, het implementeren van strengere toegangscontroles en het monitoren van de applicatie op verdachte activiteiten. Het is cruciaal om het specifieke risico voor elke applicatie te evalueren en de meest geschikte beveiligingsmaatregelen toe te passen.
Actualice Spring Security a la versión 6.4.16 o superior, 6.5.10 o superior, o 7.0.5 o superior para mitigar la vulnerabilidad TOCTOU en el servicio JdbcOneTimeTokenService. Esta actualización corrige la condición de carrera que permite la autenticación de múltiples sesiones con un solo token de un solo uso. Revise la documentación oficial de Spring Security para obtener instrucciones detalladas de actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Dit is een type kwetsbaarheid dat optreedt wanneer er een tijdsbestek is tussen het controleren van een voorwaarde en de actie die op basis van die voorwaarde wordt uitgevoerd. Een aanvaller kan dit tijdsbestek benutten om de voorwaarde te wijzigen, waardoor de actie onverwacht wordt uitgevoerd.
Een score van 4.8 op de CVSS-schaal duidt op een gemiddeld risico. Dit betekent dat de kwetsbaarheid kan worden uitgebuit, maar niet triviaal is en enige vaardigheid of toegang vereist.
Implementeer tijdelijke mitigerende maatregelen, zoals het beperken van de toegang tot de database, het versterken van de toegangscontroles en het monitoren van de applicatie op verdachte activiteiten.
Nee, het treft alleen applicaties die Spring Security gebruiken en specifiek die welke de One-Time Token-login configureren via JdbcOneTimeTokenService.
U kunt meer informatie vinden in de release notes van Spring Security en in kwetsbaarheidsdatabases zoals de National Vulnerability Database (NVD).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.