.. _vulnerabilityManagement_securityAdvisory_2026_CVE-2026-41842: CVE-2026-41842, CVE-2026-41841, CVE-2026-41843 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Data: 2026-06-13 Severity: High CVSS Score: - CVE-2026-41842: 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) - CVE-2026-41841: 5.9 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N) - CVE-2026-41843: 5.9 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N) .. note:: La severity e i CVSS Score si riferiscono alle vulnerabilità delle librerie. Come descritto nella sezione **GovWay**, le vulnerabilità non si manifestano nel prodotto, poiché risiedono in moduli di Spring Framework (``spring-webmvc`` / ``spring-webflux``) non distribuiti da GovWay. Riferimenti: - CVE-2026-41842: - `https://nvd.nist.gov/vuln/detail/CVE-2026-41842 `_ - `https://spring.io/security/cve-2026-41842 `_ - CVE-2026-41841: - `https://nvd.nist.gov/vuln/detail/CVE-2026-41841 `_ - `https://spring.io/security/cve-2026-41841 `_ - CVE-2026-41843: - `https://nvd.nist.gov/vuln/detail/CVE-2026-41843 `_ - `https://spring.io/security/cve-2026-41843 `_ Libreria: org.springframework Spring Framework (versioni affette: 5.3.0 - 5.3.48, 6.1.0 - 6.1.27, 6.2.0 - 6.2.18, 7.0.0 - 7.0.7) **Descrizione** 1. [CVE-2026-41842] CWE-400: Uncontrolled Resource Consumption Spring MVC and WebFlux applications are vulnerable to Denial of Service (DoS) attacks when resolving static resources. Affected versions: Spring Framework 7.0.0 through 7.0.7; 6.2.0 through 6.2.18; 6.1.0 through 6.1.27; 5.3.0 through 5.3.48. 2. [CVE-2026-41841] CWE-524: Use of Cache Containing Sensitive Information Spring MVC and WebFlux applications are vulnerable to Information Disclosure attacks when resolving static resources. Affected versions: Spring Framework 7.0.0 through 7.0.7; 6.2.0 through 6.2.18; 6.1.0 through 6.1.27; 5.3.0 through 5.3.48. 3. [CVE-2026-41843] CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') Spring MVC and WebFlux applications are vulnerable to Path Traversal attacks when resolving static resources. Affected versions: Spring Framework 7.0.0 through 7.0.7; 6.2.0 through 6.2.18; 6.1.0 through 6.1.27; 5.3.0 through 5.3.48. **GovWay** Le tre vulnerabilità risiedono nei moduli ``spring-webmvc`` e ``spring-webflux`` di Spring Framework, ovvero nel framework web MVC/WebFlux e nel relativo meccanismo di *resource handling* (``ResourceHttpRequestHandler`` e componenti correlati). Tali moduli **non fanno parte della distribuzione di GovWay**: il prodotto utilizza Spring esclusivamente come container di *dependency injection* (moduli ``spring-core``, ``spring-beans``, ``spring-context``, ``spring-context-support``, ``spring-expression``), insieme a ``spring-aop``/``spring-aspects``, ``spring-tx`` e ``spring-web``; non integra Spring MVC né Spring WebFlux ed espone i propri servizi tramite uno stack servlet/JAX-RS proprio. Il meccanismo di risoluzione delle risorse statiche di Spring non viene quindi mai istanziato. Per questi motivi le vulnerabilità non si manifestano nel prodotto. .. note:: Le vulnerabilità sono segnalate dai tool di analisi delle dipendenze (es. OWASP dependency-check) a carico dell'artefatto ``spring-core``, in quanto l'NVD associa le vulnerabilità di Spring Framework alla CPE di prodotto ``cpe:2.3:a:vmware:spring_framework`` (con gli alias ``pivotal_software`` e ``springsource``), senza distinguere il singolo modulo Maven. Il codice vulnerabile risiede tuttavia nei moduli ``spring-webmvc`` / ``spring-webflux``, non distribuiti da GovWay. Ciò premesso, per la linea 3.4.x la libreria viene aggiornata ad una versione non affetta a partire dalla release indicata nella successiva sezione Risoluzione. Versione affette: - 3.3.x: <= 3.3.20 - 3.4.x: <= 3.4.3 Risoluzione: - 3.3.x: - - 3.4.x: prima versione in rilascio