Dix-sept vulnérabilités corrigées dans le framework Spring

Dix-sept vulnérabilités colmatées dans le framework Spring

L'éditeur du framework Spring a publié une série de correctifs visant à résoudre dix-sept failles de sécurité. Les risques identifiés incluent l'exécution de code arbitraire, le contournement de la politique de sécurité et le déni de service.

Publié le 10 juin 2026 à 13h08 · Mis à jour il y a 23 heures · 2 min de lecture

L'équipe de développement du framework Spring a diffusé, le 9 juin, une mise à jour de sécurité d'envergure. Pas moins de dix-sept vulnérabilités, suivies sous des identifiants CVE distincts, sont désormais corrigées dans plusieurs modules de la plateforme destinée aux développeurs d'applications en langage Java. L'avis publié par le CERT-FR le 10 juin détaille l'étendue des correctifs disponibles.

Parmi les brèches identifiées, plusieurs présentent un niveau de criticité élevé. Un attaquant pourrait en tirer parti pour exécuter du code arbitraire sur un système vulnérable, contourner les mécanismes de sécurité en place ou encore provoquer un déni de service. Pour certaines failles, le niveau de risque exact n'a pas été précisé par l'éditeur.

Des modules multiples concernés

Les correctifs couvrent un vaste périmètre. Le module AMQP (Advanced Message Queuing Protocol) est concerné dans ses branches 2.4.x, 3.1.x, 3.2.x et 4.0.x, de même que certaines versions antérieures. Le module Data Commons, qui affecte de manière transitive tous les sous-modules Data store, doit être mis à jour dans ses gammes 2.7.x, 3.3.x, 3.4.x, 3.5.x et 4.0.x. Il en va de même pour Data KeyValue, Data MongoDB, Data Relational, Data REST et Security.

Pour le volet Data MongoDB, les versions concernées s'échelonnent de la branche 3.4.x à la branche 5.0.x. Data Relational et Data REST sont également impactés sur plusieurs lignes de versions. Le module Security, qui gère l'authentification et les autorisations, est visé dans six branches différentes, de la version 1.5.x jusqu'à la branche 7.0.x. Les administrateurs et les équipes de développement doivent appliquer les mises à jour disponibles pour chaque bibliothèque utilisée.

Mise à jour impérative

L'éditeur Spring recommande l'installation immédiate des correctifs. Les bulletins de sécurité correspondant à chaque identifiant CVE, publiés sur le site officiel de Spring, fournissent le détail technique des failles ainsi que les numéros de version corrigés. Aucune solution de contournement n'a été communiquée à ce stade. Les organisations intégrant Spring dans leurs chaînes de développement et de production sont invitées à vérifier la version de chaque module et à procéder sans délai aux mises à niveau nécessaires.

Dix-sept vulnérabilités colmatées dans le framework Spring

Mises à jour

Évolution du sujet

À lire ensuite

Apple déploie des outils de retouche photo par IA dans l'application Photos d'iOS 27

Arch Linux : l'incident de sécurité touche finalement plus de 1 500 paquets de l'AUR, les correctifs déployés

Désaccord entre Dassault et Airbus : Dassault réclame une compensation sur le programme Eurodrone

Un robot tondeuse au rapport qualité-prix agressif : le Mova LiDAX Ultra 1600 sous les 1 000 euros