Dix vulnérabilités corrigées dans le framework Spring

L'éditeur a publié des correctifs pour une série de failles affectant plusieurs composants de son écosystème. Celles-ci exposent les systèmes à des risques d'élévation de privilèges, de déni de service et de fuite de données.

Publié le 9 juin 2026 à 12h27 · 2 min de lecture

Dix failles de sécurité ont été identifiées dans le framework Spring et ses composants associés, a fait savoir un avis du Centre gouvernemental de réponse aux incidents de sécurité (CERT-FR) émis en fin de semaine. Les vulnérabilités concernent plusieurs versions de Spring Framework, Spring LDAP, Spring Reactor Netty, Spring REST Docs et Spring Retry.

Les correctifs ont été distribués par l'éditeur à partir du 8 juin 2026 pour l'essentiel des failles, et le 9 juin 2026 pour trois d'entre elles. Aucune exploitation active n'a été mentionnée dans les bulletins de sécurité officiels.

Des risques multiples

Les vulnérabilités répertoriées permettent potentiellement à un attaquant de provoquer une élévation de privilèges, un déni de service à distance ou encore une atteinte à la confidentialité des données. L'avis du CERT-FR précise que certaines des brèches peuvent aussi être exploitées pour contourner la politique de sécurité des applications concernées.

Produits et versions impactés

Sont concernées les versions de Spring Framework antérieures à 5.3.49, 6.1.28, 6.2.19 (source ouverte) ou 6.2.18.1 (licence commerciale), ainsi que 7.0.8 (source ouverte) ou 7.0.7.1 (licence commerciale). Pour Spring LDAP, les versions 2.4.x antérieures à 2.4.5, 3.2.x antérieures à 3.2.18, 3.3.x antérieures à 3.3.8 et 4.0.x antérieures à 4.0.4 sont vulnérables.

Les bibliothèques Spring Reactor Netty sont affectées dans leurs branches 1.0.x (avant 1.0.52), 1.1.x (avant 1.1.36), 1.2.x (avant 1.2.18) et 1.3.x (avant 1.3.6). Concernant Spring REST Docs, les versions à risque sont les 2.0.x antérieures à 2.0.9, 3.0.x antérieures à 3.0.6 (source ouverte) ou 3.0.5.1 (licence commerciale), et 4.0.x antérieures à 4.0.1 (source ouverte) ou 4.0.0.1 (licence commerciale). Enfin, Spring Retry est vulnérable dans ses versions 1.3.x antérieures à 1.3.5 et 2.0.x antérieures à 2.0.13.

Mesures de protection

Le CERT-FR recommande aux administrateurs de se référer aux bulletins de sécurité publiés par Spring pour identifier les correctifs adaptés à chaque version déployée. Les mises à jour sont disponibles sur le site officiel de l'éditeur, qui détaille pour chaque CVE les conditions d'exploitation et les versions corrigées.

Les organisations utilisant Spring Framework ou l'un de ses composants énumérés sont invitées à planifier l'application des correctifs sans délai, en particulier dans les environnements de production exposés.

Contexte

Cette publication intervient quelques jours après une autre série de correctifs émis par l'éditeur en mai 2026. La fréquence des mises à jour de sécurité souligne l'importance pour les équipes techniques de maintenir une veille active sur l'écosystème Spring, largement utilisé dans le développement d'applications d'entreprise en Java.

Dix vulnérabilités corrigées dans le framework Spring

Évolution du sujet

À lire ensuite

Rivian R2 : un SUV électrique compact qui mise sur le plaisir de conduire

Oura Ring 5 : une version plus petite de 40 % et de nouvelles fonctions de santé

Apple garantit la confidentialité de Siri même sur les serveurs de Google

Achetez une PlayStation 5 chez Micromania et recevez 100 € en bon d'achat