CVE-2026-41842, CVE-2026-41841, CVE-2026-41843

Data: 2026-06-13

Severity: High

CVSS Score:

  • CVE-2026-41842: 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

  • CVE-2026-41841: 5.9 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)

  • CVE-2026-41843: 5.9 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)

Nota

La severity e i CVSS Score si riferiscono alle vulnerabilità delle librerie. Come descritto nella sezione GovWay, le vulnerabilità non si manifestano nel prodotto, poiché risiedono in moduli di Spring Framework (spring-webmvc / spring-webflux) non distribuiti da GovWay.

Riferimenti:

Libreria: org.springframework Spring Framework (versioni affette: 5.3.0 - 5.3.48, 6.1.0 - 6.1.27, 6.2.0 - 6.2.18, 7.0.0 - 7.0.7)

Descrizione

  1. [CVE-2026-41842] CWE-400: Uncontrolled Resource Consumption

Spring MVC and WebFlux applications are vulnerable to Denial of Service (DoS) attacks when resolving static resources. Affected versions: Spring Framework 7.0.0 through 7.0.7; 6.2.0 through 6.2.18; 6.1.0 through 6.1.27; 5.3.0 through 5.3.48.

  1. [CVE-2026-41841] CWE-524: Use of Cache Containing Sensitive Information

Spring MVC and WebFlux applications are vulnerable to Information Disclosure attacks when resolving static resources. Affected versions: Spring Framework 7.0.0 through 7.0.7; 6.2.0 through 6.2.18; 6.1.0 through 6.1.27; 5.3.0 through 5.3.48.

  1. [CVE-2026-41843] CWE-22: Improper Limitation of a Pathname to a Restricted Directory (“Path Traversal”)

Spring MVC and WebFlux applications are vulnerable to Path Traversal attacks when resolving static resources. Affected versions: Spring Framework 7.0.0 through 7.0.7; 6.2.0 through 6.2.18; 6.1.0 through 6.1.27; 5.3.0 through 5.3.48.

GovWay

Le tre vulnerabilità risiedono nei moduli spring-webmvc e spring-webflux di Spring Framework, ovvero nel framework web MVC/WebFlux e nel relativo meccanismo di resource handling (ResourceHttpRequestHandler e componenti correlati).

Tali moduli non fanno parte della distribuzione di GovWay: il prodotto utilizza Spring esclusivamente come container di dependency injection (moduli spring-core, spring-beans, spring-context, spring-context-support, spring-expression), insieme a spring-aop/spring-aspects, spring-tx e spring-web; non integra Spring MVC né Spring WebFlux ed espone i propri servizi tramite uno stack servlet/JAX-RS proprio. Il meccanismo di risoluzione delle risorse statiche di Spring non viene quindi mai istanziato. Per questi motivi le vulnerabilità non si manifestano nel prodotto.

Nota

Le vulnerabilità sono segnalate dai tool di analisi delle dipendenze (es. OWASP dependency-check) a carico dell’artefatto spring-core, in quanto l’NVD associa le vulnerabilità di Spring Framework alla CPE di prodotto cpe:2.3:a:vmware:spring_framework (con gli alias pivotal_software e springsource), senza distinguere il singolo modulo Maven. Il codice vulnerabile risiede tuttavia nei moduli spring-webmvc / spring-webflux, non distribuiti da GovWay.

Ciò premesso, per la linea 3.4.x la libreria viene aggiornata ad una versione non affetta a partire dalla release indicata nella successiva sezione Risoluzione.

Versione affette:

  • 3.3.x: <= 3.3.20

  • 3.4.x: <= 3.4.3

Risoluzione:

  • 3.3.x: -

  • 3.4.x: prima versione in rilascio