CVE-2026-40988, CVE-2026-41003, CVE-2026-41694
Data: 2026-06-13
Severity: High
CVSS Score:
CVE-2026-40988: 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
CVE-2026-41003: 5.4 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)
CVE-2026-41694: 5.3 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
Nota
La severity e i CVSS Score si riferiscono alle vulnerabilità della libreria. Come descritto nella sezione GovWay, le vulnerabilità non si manifestano nel prodotto, poiché risiedono nel modulo spring-security-saml2-service-provider non distribuito da GovWay.
Riferimenti:
CVE-2026-40988:
CVE-2026-41003:
CVE-2026-41694:
Libreria: org.springframework.security Spring Security (versioni affette: 5.7.0 - 5.7.23, 5.8.0 - 5.8.25, 6.3.0 - 6.3.16, 6.4.0 - 6.4.16, 6.5.0 - 6.5.10, 7.0.0 - 7.0.5)
Descrizione
Le tre vulnerabilità riguardano il modulo spring-security-saml2-service-provider di Spring Security, ovvero il supporto al ruolo di Service Provider SAML 2.0.
[CVE-2026-40988] CWE-400: Uncontrolled Resource Consumption
An application using spring-security-saml2-service-provider and the REDIRECT binding for SAML 2.0 Login or Logout may be vulnerable to a denial of service by way of an unbounded writer that inflates the compressed SAML payload into memory. Affected versions: Spring Security 5.7.0 through 5.7.23; 5.8.0 through 5.8.25; 6.3.0 through 6.3.16; 6.4.0 through 6.4.16; 6.5.0 through 6.5.10; 7.0.0 through 7.0.5.
[CVE-2026-41003] CWE-79: Improper Neutralization of Input During Web Page Generation (“Cross-site Scripting”)
An attacker able to influence values in RelyingPartyRegistration may be able to run arbitrary code on HTML forms generated by Spring Security filters. Affected versions: Spring Security 5.7.0 through 5.7.23; 5.8.0 through 5.8.25; 6.3.0 through 6.3.16; 6.4.0 through 6.4.16; 6.5.0 through 6.5.10; 7.0.0 through 7.0.5.
[CVE-2026-41694] CWE-347: Improper Verification of Cryptographic Signature
Since Spring Security SAML decrypts SAML Responses as well as elements of SAML LogoutRequests and LogoutResponses without requiring a valid signature, attackers may be able to craft these SAML payloads and use the Service Provider as a decryption oracle. Affected versions: Spring Security 5.7.0 through 5.7.23; 5.8.0 through 5.8.25; 6.3.0 through 6.3.16; 6.4.0 through 6.4.16; 6.5.0 through 6.5.10; 7.0.0 through 7.0.5.
GovWay
Le tre vulnerabilità risiedono nel modulo spring-security-saml2-service-provider di Spring Security, che implementa il ruolo di Service Provider SAML 2.0 (SAML Login/Logout, gestione di RelyingPartyRegistration, binding REDIRECT, cifratura/decifratura dei messaggi SAML).
Tale modulo non fa parte della distribuzione di GovWay: il prodotto include unicamente i moduli spring-security-core, spring-security-config, spring-security-web e spring-security-crypto, utilizzati esclusivamente per autenticazione, autorizzazione e codifica delle password (es. AuthenticationProvider, UserDetailsService, filtri di pre-autenticazione, SecurityContextHolder, SCryptPasswordEncoder). GovWay non utilizza il supporto SAML 2.0 di Spring Security e non configura alcun Service Provider basato su Spring Security: le funzionalità SAML eventualmente impiegate nella sicurezza dei messaggi si basano sulla libreria OpenSAML, indipendente da Spring Security. Per questi motivi le vulnerabilità non si manifestano nel prodotto.
Nota
Le vulnerabilità sono segnalate dai tool di analisi delle dipendenze (es. OWASP dependency-check) a carico dell’artefatto spring-security-core, in quanto l’NVD associa le vulnerabilità di Spring Security alla CPE di prodotto cpe:2.3:a:vmware:spring_security senza distinguere il singolo modulo Maven. Il codice vulnerabile risiede tuttavia nel modulo spring-security-saml2-service-provider, non distribuito da GovWay.
Ciò premesso, per la linea 3.4.x la libreria viene aggiornata ad una versione non affetta a partire dalla release indicata nella successiva sezione Risoluzione.
Versione affette:
3.3.x: <= 3.3.20
3.4.x: <= 3.4.3
Risoluzione:
3.3.x: -
3.4.x: prima versione in rilascio