10 июня 2026 года компания Spring опубликовала бюллетени безопасности, охватывающие четыре уязвимости в продуктах Spring Boot и Spring for GraphQL. Все они получили идентификаторы CVE-2026-41001, CVE-2026-41699, CVE-2026-41700 и CVE-2026-41856. Две из них оценены как критические высокой степени опасности, одна - средняя, ещё одна также высокая, но с другим вектором. Пользователям уязвимых версий настоятельно рекомендуется установить обновления.
Детали уязвимостей
CVE-2026-41001 относится к предсказуемой временной директории в конфигурации встроенного брокера сообщений Artemis в Spring Boot. Компонент ArtemisEmbeddedConfigurationFactory использует фиксированный статический путь для хранения данных брокера, если явный путь не задан. Локальный злоумышленник, имеющий доступ к хосту, может заранее создать эту директорию или разместить символьную ссылку до запуска приложения. В случае эксплуатации уязвимости возможен перехват очередей сообщений, внедрение вредоносных сообщений и, при определённых условиях, выполнение кода через десериализацию в журнале. Проблема затрагивает Spring Boot версий с 2.7.0 по 2.7.33, с 3.3.0 по 3.3.19, с 3.4.0 по 3.4.16, с 3.5.0 по 3.5.14, а также версии 4.0.0 - 4.0.6. Исправления выпущены в версиях 4.0.7, 3.5.15, 3.5.14.1 (только для Enterprise), 3.4.17 (Enterprise), 3.3.20 (Enterprise) и 2.7.34 (Enterprise). Уязвимость обнаружил и ответственно раскрыл сотрудник PayPal Ю Бао.
CVE-2026-41699 представляет собой уязвимость небезопасной десериализации в Spring for GraphQL. Подвержены приложения, которые используют Spring GraphQL, предоставляют пагинированные поля (Connection) и содержат в classpath определённые классы, позволяющие выполнить произвольный код при создании экземпляра или десериализации. Атакующий может отправить специально сформированный запрос GraphQL, что приводит к удалённому выполнению кода. Уязвимы версии Spring for GraphQL: 2.0.0 - 2.0.3, 1.4.0 - 1.4.5, 1.3.0 - 1.3.8. Исправления доступны в версиях 2.0.4, 1.4.6 (обе OSS) и 1.3.9 (коммерческая). Проблема выявлена внутренними силами.
CVE-2026-41700 описывает межсайтовый угон WebSocket-соединения (Cross-Site WebSocket Hijacking) в Spring for GraphQL. Условия эксплуатации: включённый транспорт WebSocket, аутентификация на основе cookie и отсутствие кастомной проверки Origin на уровне Spring Security WebSocket. Атакующий может заставить аутентифицированного пользователя перейти по вредоносной ссылке и затем выполнять произвольные операции GraphQL от имени жертвы. Затронуты те же версии Spring for GraphQL, что и в предыдущей уязвимости, а также версии 1.0.0 - 1.0.6. Исправления: 2.0.4, 1.4.6, 1.3.9, 1.0.7 (первые две OSS, последние две коммерческие). Уязвимость также обнаружена внутренними специалистами.
CVE-2026-41856 связана с некорректным обнаружением аннотаций безопасности в методах контроллеров GraphQL, использующих иерархию типов. Если приложение содержит зависимости Spring Security, использует функцию @EnableMethodSecurity и реализует контроллеры с наследованием, то аннотации безопасности могут игнорироваться во время выполнения. Это позволяет обойти проверки авторизации. Уязвимость затрагивает те же версии Spring for GraphQL, что и CVE-2026-41700. Исправления выпущены в тех же сборках. Проблему обнаружил и ответственно сообщил Бофэй Чен.
Все четыре уязвимости были раскрыты 10 июня 2026 года. Пользователям Spring Boot и Spring for GraphQL необходимо как можно скорее обновить свои компоненты до указанных исправленных версий. Для получения подробной информации вендор ссылается на страницы бюллетеней: spring.io/security/cve-2026-41001, spring.io/security/cve-2026-41699, spring.io/security/cve-2026-41700 и spring.io/security/cve-2026-41856. Версии, которые больше не поддерживаются, также признаны уязвимыми, и для них рекомендуется обновление до активных версий. Риски варьируются от локального повышения привилегий до удалённого выполнения кода и полного обхода авторизации, что делает патчинг обязательным для всех организаций.
Ссылки
- https://spring.io/security/cve-2026-41001
- https://spring.io/security/cve-2026-41699
- https://spring.io/security/cve-2026-41700
- https://spring.io/security/cve-2026-41856
