.. _vulnerabilityManagement_securityAdvisory_2026_CVE-2026-22732: CVE-2026-22732 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Data: 2026-03-20 Severity: Critical CVSS Score: 9.1 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N) .. note:: La severity e il CVSS Score si riferiscono alla vulnerabilità della libreria; come descritto nella sezione **GovWay** la vulnerabilità non si manifesta nel prodotto. Riferimenti: - `https://nvd.nist.gov/vuln/detail/CVE-2026-22732 `_ - `https://ossindex.sonatype.org/vulnerability/CVE-2026-22732 `_ - `https://spring.io/security/cve-2025-41242 `_ Libreria: org.springframework.security:spring-security-core <= 5.8.23 e <= 6.5.8 **Descrizione** CWE-425: Direct Request ('Forced Browsing') When applications specify HTTP response headers for servlet applications using Spring Security, there is the possibility that the HTTP Headers will not be written. This issue affects Spring Security: from 5.7.0 through 5.7.21, from 5.8.0 through 5.8.23, from 6.3.0 through 6.3.14, from 6.4.0 through 6.4.14, from 6.5.0 through 6.5.8, from 7.0.0 through 7.0.3. **GovWay** La vulnerabilità interessa la gestione degli header HTTP nelle response delle applicazioni servlet protette da Spring Security. In GovWay la filter chain di Spring Security, che include la gestione degli header HTTP, è attiva esclusivamente nelle API di configurazione e monitoraggio. La `documentazione `_ fornisce indicazioni su come rendere fruibili tali API non direttamente ma tramite erogazioni di GovWay stesso, che gestisce autonomamente gli header delle risposte verso il chiamante. Per questo motivo la vulnerabilità non si manifesta. Ciò premesso, la libreria verrà aggiornata nei prossimi rilasci della versione 3.4.x. Versione affette: - 3.3.x: <= 3.3.19.p1 - 3.4.x: <= 3.4.2.p1 Risoluzione: - 3.3.x: 3.3.20 - 3.4.x: 3.4.3