.. _vulnerabilityManagement_securityAdvisory_2026_CVE-2026-41845: CVE-2026-41845, CVE-2026-41846 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Data: 2026-06-13 Severity: Medium CVSS Score: - CVE-2026-41845: 6.1 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N) - CVE-2026-41846: 6.1 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N) .. note:: La severity e i CVSS Score si riferiscono alle vulnerabilità delle librerie. Come descritto nella sezione **GovWay**, le vulnerabilità non si manifestano nel prodotto: GovWay non utilizza né il metodo ``JavaScriptUtils.javaScriptEscape()`` né la tag library JSP di Spring MVC. Riferimenti: - CVE-2026-41845: - `https://nvd.nist.gov/vuln/detail/CVE-2026-41845 `_ - `https://spring.io/security/cve-2026-41845 `_ - CVE-2026-41846: - `https://nvd.nist.gov/vuln/detail/CVE-2026-41846 `_ - `https://spring.io/security/cve-2026-41846 `_ Libreria: org.springframework Spring Framework (versioni affette: 5.3.0 - 5.3.48, 6.1.0 - 6.1.27, 6.2.0 - 6.2.18, 7.0.0 - 7.0.7) **Descrizione** 1. [CVE-2026-41845] CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') Due to incorrect escaping, the use of JavaScriptUtils.javaScriptEscape() may lead to JavaScript code injection in the browser, potentially resulting in a cross-site scripting (XSS) vulnerability. Affected versions: Spring Framework 7.0.0 through 7.0.7; 6.2.0 through 6.2.18; 6.1.0 through 6.1.27; 5.3.0 through 5.3.48. 2. [CVE-2026-41846] CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') Spring MVC applications which accept user-supplied values in the cssClass, cssErrorClass, or cssStyle attributes of JSP form tags allow arbitrary HTML/JavaScript code injection, potentially resulting in a cross-site scripting (XSS) vulnerability. Affected versions: Spring Framework 7.0.0 through 7.0.7; 6.2.0 through 6.2.18; 6.1.0 through 6.1.27; 5.3.0 through 5.3.48. **GovWay** La vulnerabilità **CVE-2026-41846** risiede nella *form tag library* JSP del modulo ``spring-webmvc``, che non fa parte della distribuzione di GovWay: il prodotto non integra Spring MVC e non utilizza i tag JSP di Spring. La vulnerabilità non si manifesta quindi nel prodotto. La vulnerabilità **CVE-2026-41845** riguarda invece il metodo ``JavaScriptUtils.javaScriptEscape()`` del modulo ``spring-web``, effettivamente incluso nella distribuzione. Tale metodo è una utility di *escaping* destinata alla generazione di contenuto JavaScript lato view (tipicamente in pagine JSP tramite la tag library di Spring MVC, non utilizzata da GovWay). Di ``spring-web`` GovWay impiega unicamente l'utility di decodifica URI ``UriUtils`` e l'accesso al contesto applicativo dai servlet della console di monitoraggio (``WebApplicationContextUtils``); il metodo ``JavaScriptUtils.javaScriptEscape()`` non risulta utilizzato dal prodotto. Anche questa vulnerabilità non si manifesta pertanto nel prodotto. .. note:: Le vulnerabilità sono segnalate dai tool di analisi delle dipendenze (es. OWASP dependency-check) a carico dell'artefatto ``spring-core``, in quanto l'NVD associa le vulnerabilità di Spring Framework alla CPE di prodotto ``cpe:2.3:a:vmware:spring_framework`` (con gli alias ``pivotal_software`` e ``springsource``), senza distinguere il singolo modulo Maven. Il codice vulnerabile risiede tuttavia nei moduli ``spring-webmvc`` (CVE-2026-41846) e ``spring-web`` (CVE-2026-41845). Ciò premesso, per la linea 3.4.x la libreria viene aggiornata ad una versione non affetta a partire dalla release indicata nella successiva sezione Risoluzione. Versione affette: - 3.3.x: <= 3.3.20 - 3.4.x: <= 3.4.3 Risoluzione: - 3.3.x: - - 3.4.x: prima versione in rilascio