Компания Spring опубликовала бюллетени безопасности для двух уязвимостей высокой степени опасности, затрагивающих продукты Spring Cloud Gateway и Spring Cloud Sleuth. Обе проблемы получили идентификаторы CVE-2026-47825 и CVE-2026-41708 соответственно. Уязвимости затрагивают широкий спектр версий - от 3.1.x до 5.0.x для Gateway и версии 3.1.x для Sleuth. Разработчики уже выпустили исправления, хотя для некоторых веток поддержка обновлений доступна только в рамках корпоративной лицензии.
Детали уязвимостей
Первая уязвимость, CVE-2026-47825, связана с некорректной обработкой заголовков от непроверенных прокси-серверов в Spring Cloud Gateway Server. Проблема затрагивает как реализацию WebMVC, так и WebFlux. В определённых сценариях конфигурации шлюз передаёт заголовки "X-Forwarded-For" и "Forwarded" от недоверенных источников. Это позволяет атакующему манипулировать информацией о реальном IP-адресе клиента. В случае эксплуатации уязвимости злоумышленник может подменить эти заголовки для обхода механизмов контроля доступа, построенных на анализе IP-адресов, или для создания ложных записей в журналах аудита.
Особенность CVE-2026-47825 заключается в том, что для атаки не требуются учётные данные. Вектор - удалённый, сложность низкая. CVSS-оценка базового вектора составляет 8.6 (HIGH) по шкале 3.1. Это означает, что эксплуатация не требует привилегированного доступа и не взаимодействует с пользователем. При этом атака может изменить сегмент сети, то есть скомпрометировать периметр. В качестве меры исправления разработчики отключили по умолчанию компонент "NettyServerCustomizer" для WebFlux. Пользователям, которые полагаются на эту настройку, необходимо явно включить её через параметр "spring.cloud.gateway.server.webflux.httpserver.customizer-enabled=true" (для веток 5.0.x и 4.3.x с новым пространством имён) или "spring.cloud.gateway.httpserver.customizer-enabled=true" (для 4.3.x без миграции и для 4.2.x с 3.1.x).
Вторая уязвимость, CVE-2026-41708, обнаружена в компоненте инструментирования Spring Cloud Sleuth, а именно в модуле "spring-cloud-sleuth-instrumentation". Проблема связана с возможностью проведения удалённой атаки типа "отказ в обслуживании" через специально сформированные вызовы. Условия эксплуатации: приложение использует уязвимую версию библиотеки, а инструментирование Spring TX не отключено. Атакующему не требуются учётные данные - достаточно отправить запрос на уязвимый сервис. Нагрузка на системные ресурсы может привести к исчерпанию памяти или процессорного времени, что вызовет недоступность сервиса. CVSS-оценка по шкале NVD составляет 7.5 (HIGH) с вектором "AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H". Другими словами, атака не приводит к утечке данных или модификации информации, но полностью нарушает доступность системы.
Специалисты Spring подчеркивают, что в обоих случаях уязвимости уже были ответственно раскрыты исследователем samarthd. Для CVE-2026-47825 компания указала, что проблема была выявлена и сообщена в соответствии с политикой ответственного разглашения. В официальном бюллетене сказано: "The issue was identified and responsibly reported by samarthd". Для CVE-2026-41708 разработчики указали, что достаточным действием по смягчению рисков является обновление до исправленной версии, дополнительных мер не требуется.
Список затронутых версий значителен. Для Spring Cloud Gateway уязвимы ветки 3.1.x (до 3.1.13), 4.1.x и 4.2.x (до 4.2.9), 4.3.x (до 4.3.4.1 или 4.3.5) и 5.0.x (до 5.0.1.1 или 5.0.2). Для Spring Cloud Sleuth проблема касается версий с 3.1.0 по 3.1.13 включительно. Разработчики отмечают, что более старые, неподдерживаемые версии Gateway также подвержены уязвимости, но обновления для них не выпускаются.
Организациям, использующим Spring Cloud Gateway в качестве пограничного шлюза или API-шлюза, следует незамедлительно установить соответствующие патчи. Особенно критична ситуация с CVE-2026-47825, поскольку она позволяет злоумышленнику выдавать себя за доверенное устройство. Потенциальная атака может привести к несанкционированному доступу к защищённым ресурсам, которые полагаются на заголовки от прокси для принятия решений об авторизации. Для Spring Cloud Sleuth риск заключается во внезапном отказе сервиса, что критично для систем, работающих в режиме 24/7.
Исправления для веток 4.3.x и 5.0.x доступны в виде версий с открытым исходным кодом (OSS). Для остальных затронутых веток (3.1.x, 4.1.x, 4.2.x) патчи предоставляются только в рамках корпоративной поддержки Enterprise Support. Spring рекомендует всем пользователям как можно скорее перейти на исправленные версии и, если необходимо, активировать поддержку для получения обновлений.
Итого: оба уязвимости имеют высокий уровень опасности и требуют оперативного вмешательства. Без установки обновлений организации рискуют столкнуться как с атаками на целостность данных через подмену заголовков, так и с атаками на доступность через исчерпание ресурсов. Команда безопасности должна провести инвентаризацию используемых версий Spring Cloud Gateway и Spring Cloud Sleuth и применить исправления в кратчайшие сроки.
Ссылки
