В мире корпоративной разработки на Java фреймворк Spring Cloud Config Server давно стал стандартом де-факто для централизованного управления конфигурациями микросервисов. Однако недавнее открытие исследователей безопасности вскрыло сразу четыре уязвимости в этом популярном компоненте, степень опасности которых варьируется от средней до критической. Самая серьёзная из них позволяет злоумышленнику получить доступ к произвольным файлам на сервере, не проходя аутентификацию. Более того, две другие бреши создают риск утечки секретов облачной платформы Google (GCP) и манипуляции с файловыми директориями.
Проблема затронула все поддерживаемые ветки Spring Cloud Config, включая версии 3.1.x, 4.1.x, 4.2.x, 4.3.x и 5.0.x. Устаревшие, более не поддерживаемые версии также остаются уязвимыми. Разработчики из VMware уже выпустили исправления, но администраторам необходимо как можно скорее обновить свои системы, чтобы предотвратить активную эксплуатацию этих уязвимостей.
Критическая уязвимость обхода каталогов
Наиболее опасная проблема получила идентификатор CVE-2026-40982 (CVE - Common Vulnerabilities and Exposures, общеизвестные уязвимости и риски). Речь идёт о критической уязвимости обхода каталогов (directory traversal) в модуле spring-cloud-config-server. Этот модуль предназначен для того, чтобы приложения могли получать текстовые и бинарные файлы конфигурации. Однако из-за ошибки в обработке URL-запросов неаутентифицированный удалённый злоумышленник может отправить специально сформированный запрос, который приведёт к выполнению атаки с обходом каталогов. Иными словами, атакующий получает несанкционированный доступ к любым файлам на сервере, лежащим за пределами предназначенной для конфигураций директории.
Эта брешь была обнаружена и ответственно раскрыта группой исследователей: Swapnil Paliwal, August 829, rash18mi и командой безопасности AxiomCode. Последствия её эксплуатации могут быть катастрофическими: злоумышленник способен вычитать файлы с паролями, токенами доступа, ключами сертификатов и другими критическими данными, хранящимися на сервере.
Риск раскрытия секретов GCP
Вторая уязвимость, CVE-2026-40981, имеет высокий уровень серьёзности и затрагивает организации, использующие Google Secrets Manager (службу управления секретами компании Google) в качестве бэкенда для сервера конфигураций Spring Cloud Config. Проблема заключается в том, что вредоносный клиент может отправить специально сконструированный запрос к серверу конфигураций, в результате чего тот раскроет секреты из проектов GCP, к которым клиент не должен иметь доступа.
Для тех администраторов, которые не могут немедленно установить патч, разработчики предлагают временную меру защиты. Необходимо установить флаг обязательности токена в конфигурации: "spring.cloud.config.server.gcp-secret-manager.token-mandatory=true". Эта настройка заставляет клиента отправлять валидный токен, который система затем проверяет, гарантируя, что доступ к секретам запрашиваемого проекта получают только авторизованные пользователи.
TOCTOU-атака и утечка через логи
Третья брешь, CVE-2026-41002, также высокой степени серьёзности, представляет собой уязвимость типа TOCTOU (Time-of-Check Time-of-Use - проверка по времени и использование по времени). Эта проблема затрагивает базовую директорию, используемую для клонирования Git-репозиториев. Суть в том, что между моментом проверки состояния директории и моментом её фактического использования (при клонировании) может возникнуть состояние гонки (race condition). Атакующий способен вмешаться в процесс клонирования и подменить файлы, что может привести к внедрению вредоносных конфигураций или нарушению целостности данных. Данную уязвимость обнаружил и сообщил о ней Ю Бао (Yu Bao) из компании PayPal.
Наконец, четвёртая проблема, CVE-2026-41004, имеет среднюю степень опасности, но её не стоит недооценивать. При включении трассировочного журналирования (trace logging) на сервере конфигураций система записывает чувствительные данные в открытом виде непосредственно в файлы журнала. Это создаёт значительный риск раскрытия информации: любой, кто имеет доступ к логам, может прочитать пароли, токены и другие конфиденциальные сведения.
Что делать администраторам
Чтобы защитить свои среды, организациям необходимо обновить Spring Cloud Config Server до исправленных версий в зависимости от используемой ветки релиза. Для пользователей веток 4.3.x и 5.0.x доступны открытые патчи: достаточно обновиться до версий 4.3.3 и 5.0.3 соответственно. Организации, работающие на более старых ветках (3.1.x, 4.1.x, 4.2.x), должны иметь действующее соглашение на корпоративную поддержку (Enterprise Support) от VMware, чтобы получить исправления - это версии 3.1.14, 4.1.10 и 4.2.7.
Специалистам по безопасности стоит проверить, не используются ли в инфраструктуре версии Spring Cloud Config, попадающие под уязвимости, и немедленно запланировать обновление. Особенно критично это для систем, которые обрабатывают данные аутентификации или хранят секреты облачных провайдеров. Также рекомендуется временно отключить трассировочное журналирование, если оно активно, до установки патча. Общий вывод таков: совокупность выявленных уязвимостей делает этот компонент серьёзной мишенью для атак, и промедление с обновлением может стоить компании утечки критически важных конфиденциальных данных.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-40981
- https://www.cve.org/CVERecord?id=CVE-2026-40982
- https://www.cve.org/CVERecord?id=CVE-2026-41002
- https://www.cve.org/CVERecord?id=CVE-2026-41004
- https://spring.io/security/cve-2026-40981
- https://spring.io/security/cve-2026-40982
- https://spring.io/security/cve-2026-41002
- https://spring.io/security/cve-2026-41004
