.. _vulnerabilityManagement_securityAdvisory_2026_CVE-2026-40988: CVE-2026-40988, CVE-2026-41003, CVE-2026-41694 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Data: 2026-06-13 Severity: High CVSS Score: - CVE-2026-40988: 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) - CVE-2026-41003: 5.4 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N) - CVE-2026-41694: 5.3 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N) .. note:: La severity e i CVSS Score si riferiscono alle vulnerabilità della libreria. Come descritto nella sezione **GovWay**, le vulnerabilità non si manifestano nel prodotto, poiché risiedono nel modulo ``spring-security-saml2-service-provider`` non distribuito da GovWay. Riferimenti: - CVE-2026-40988: - `https://nvd.nist.gov/vuln/detail/CVE-2026-40988 `_ - `https://spring.io/security/cve-2026-40988 `_ - CVE-2026-41003: - `https://nvd.nist.gov/vuln/detail/CVE-2026-41003 `_ - `https://spring.io/security/cve-2026-41003 `_ - CVE-2026-41694: - `https://nvd.nist.gov/vuln/detail/CVE-2026-41694 `_ - `https://spring.io/security/cve-2026-41694 `_ Libreria: org.springframework.security Spring Security (versioni affette: 5.7.0 - 5.7.23, 5.8.0 - 5.8.25, 6.3.0 - 6.3.16, 6.4.0 - 6.4.16, 6.5.0 - 6.5.10, 7.0.0 - 7.0.5) **Descrizione** Le tre vulnerabilità riguardano il modulo ``spring-security-saml2-service-provider`` di Spring Security, ovvero il supporto al ruolo di Service Provider SAML 2.0. 1. [CVE-2026-40988] CWE-400: Uncontrolled Resource Consumption An application using spring-security-saml2-service-provider and the REDIRECT binding for SAML 2.0 Login or Logout may be vulnerable to a denial of service by way of an unbounded writer that inflates the compressed SAML payload into memory. Affected versions: Spring Security 5.7.0 through 5.7.23; 5.8.0 through 5.8.25; 6.3.0 through 6.3.16; 6.4.0 through 6.4.16; 6.5.0 through 6.5.10; 7.0.0 through 7.0.5. 2. [CVE-2026-41003] CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') An attacker able to influence values in RelyingPartyRegistration may be able to run arbitrary code on HTML forms generated by Spring Security filters. Affected versions: Spring Security 5.7.0 through 5.7.23; 5.8.0 through 5.8.25; 6.3.0 through 6.3.16; 6.4.0 through 6.4.16; 6.5.0 through 6.5.10; 7.0.0 through 7.0.5. 3. [CVE-2026-41694] CWE-347: Improper Verification of Cryptographic Signature Since Spring Security SAML decrypts SAML Responses as well as elements of SAML LogoutRequests and LogoutResponses without requiring a valid signature, attackers may be able to craft these SAML payloads and use the Service Provider as a decryption oracle. Affected versions: Spring Security 5.7.0 through 5.7.23; 5.8.0 through 5.8.25; 6.3.0 through 6.3.16; 6.4.0 through 6.4.16; 6.5.0 through 6.5.10; 7.0.0 through 7.0.5. **GovWay** Le tre vulnerabilità risiedono nel modulo ``spring-security-saml2-service-provider`` di Spring Security, che implementa il ruolo di Service Provider SAML 2.0 (SAML Login/Logout, gestione di ``RelyingPartyRegistration``, binding REDIRECT, cifratura/decifratura dei messaggi SAML). Tale modulo **non fa parte della distribuzione di GovWay**: il prodotto include unicamente i moduli ``spring-security-core``, ``spring-security-config``, ``spring-security-web`` e ``spring-security-crypto``, utilizzati esclusivamente per autenticazione, autorizzazione e codifica delle password (es. ``AuthenticationProvider``, ``UserDetailsService``, filtri di pre-autenticazione, ``SecurityContextHolder``, ``SCryptPasswordEncoder``). GovWay non utilizza il supporto SAML 2.0 di Spring Security e non configura alcun Service Provider basato su Spring Security: le funzionalità SAML eventualmente impiegate nella sicurezza dei messaggi si basano sulla libreria OpenSAML, indipendente da Spring Security. Per questi motivi le vulnerabilità non si manifestano nel prodotto. .. note:: Le vulnerabilità sono segnalate dai tool di analisi delle dipendenze (es. OWASP dependency-check) a carico dell'artefatto ``spring-security-core``, in quanto l'NVD associa le vulnerabilità di Spring Security alla CPE di prodotto ``cpe:2.3:a:vmware:spring_security`` senza distinguere il singolo modulo Maven. Il codice vulnerabile risiede tuttavia nel modulo ``spring-security-saml2-service-provider``, non distribuito da GovWay. Ciò premesso, per la linea 3.4.x la libreria viene aggiornata ad una versione non affetta a partire dalla release indicata nella successiva sezione Risoluzione. Versione affette: - 3.3.x: <= 3.3.20 - 3.4.x: <= 3.4.3 Risoluzione: - 3.3.x: - - 3.4.x: prima versione in rilascio