CVE-2026-22732

Data: 2026-03-20

Severity: Critical

CVSS Score: 9.1 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)

Nota

La severity e il CVSS Score si riferiscono alla vulnerabilità della libreria; come descritto nella sezione GovWay la vulnerabilità non si manifesta nel prodotto.

Riferimenti:

• https://nvd.nist.gov/vuln/detail/CVE-2026-22732

• https://ossindex.sonatype.org/vulnerability/CVE-2026-22732

• https://spring.io/security/cve-2025-41242

Libreria: org.springframework.security:spring-security-core <= 5.8.23 e <= 6.5.8

Descrizione

CWE-425: Direct Request (“Forced Browsing”)

When applications specify HTTP response headers for servlet applications using Spring Security, there is the possibility that the HTTP Headers will not be written. This issue affects Spring Security: from 5.7.0 through 5.7.21, from 5.8.0 through 5.8.23, from 6.3.0 through 6.3.14, from 6.4.0 through 6.4.14, from 6.5.0 through 6.5.8, from 7.0.0 through 7.0.3.

GovWay

La vulnerabilità interessa la gestione degli header HTTP nelle response delle applicazioni servlet protette da Spring Security. In GovWay la filter chain di Spring Security, che include la gestione degli header HTTP, è attiva esclusivamente nelle API di configurazione e monitoraggio. La documentazione fornisce indicazioni su come rendere fruibili tali API non direttamente ma tramite erogazioni di GovWay stesso, che gestisce autonomamente gli header delle risposte verso il chiamante. Per questo motivo la vulnerabilità non si manifesta.

Ciò premesso, la libreria verrà aggiornata nei prossimi rilasci della versione 3.4.x.

Versione affette:

• 3.3.x: <= 3.3.19.p1

• 3.4.x: <= 3.4.2.p1

Risoluzione:

• 3.3.x: 3.3.20

• 3.4.x: 3.4.3