Framework Spring : quinze vulnérabilités corrigées, dont plusieurs critiques

Une nouvelle salve de correctifs a été diffusée par les équipes de développement du framework Spring, le 9 juin 2026. Au total, quinze vulnérabilités ont été rendues publiques, touchant une large palette de sous-projets utilisés dans l'écosystème Java. Les failles identifiées, toutes répertoriées sous des identifiants CVE allant de CVE-2026-40988 à CVE-2026-41729, permettent des attaques aux conséquences variées, allant de l'exécution de code arbitraire à distance jusqu'au contournement de la politique de sécurité ou au simple déni de service.

Des projets multiples exposés

Les modules affectés couvrent plusieurs segments de l'offre Spring. Le projet Spring AMQP, dédié à la messagerie via le protocole Advanced Message Queuing Protocol, est concerné dans ses branches 2.4.x, 3.1.x, 3.2.x et 4.0.x. Les versions vulnérables s'échelonnent de la 2.4.18 à la 4.0.4, selon les séries. Des correctifs spécifiques ont également été livrés pour les versions 3.2.10.1 et 4.0.3.1, signalant la nécessité de mises à jour même sur des sous-versions mineures.

Le module Spring Data Commons, qui sert de fondation aux différents modules de persistance, est lui aussi impacté. Tous les modules Data store qui en dépendent de manière transitive sont vulnérables dans les versions antérieures aux correctifs suivants : 2.7.20, 3.3.17, 3.4.15, 3.5.12 et 4.0.6, pour les branches 2.7.x à 4.0.x.

Spring Data KeyValue, MongoDB, Relational et REST

Spring Data KeyValue reproduit le même périmètre de versions exposées que Data Commons. Spring Data MongoDB est vulnérable dans ses versions 3.4.x à 5.0.x, avec des correctifs allant de la version 3.4.20 à la 5.0.6. Spring Data Relational, qui englobe les connecteurs aux bases relationnelles, doit être mis à jour vers les versions 2.4.20, 3.3.17, 3.4.15, 3.5.12 ou 4.0.6 selon la branche employée.

Spring Data REST suit le même schéma de versions corrigées que MongoDB. Enfin, le module Spring Security, pierre angulaire de l'authentification et du contrôle d'accès, présente des vulnérabilités dans les gammes 1.5.x, 5.7.x, 5.8.x, 6.3.x, 6.4.x, 6.5.x et 7.0.x. Les versions sécurisées s'étagent de 1.5.8 à 7.0.6, en fonction de la branche.

Des risques multiples et une mise à jour impérative

Les quinze vulnérabilités exposent les systèmes à quatre types de risques principaux : l'exécution de code arbitraire, le contournement de la politique de sécurité, le déni de service, et un dernier risque non spécifié par l'éditeur. L'exécution de code arbitraire est souvent jugée critique, car elle permet à un attaquant de prendre le contrôle d'une application ou du serveur qui l'héberge. Le contournement de la politique de sécurité peut quant à lui ouvrir la voie à des accès non autorisés à des ressources protégées.

L'équipe Spring recommande vivement de consulter les bulletins de sécurité publiés sur le site officiel pour chaque identifiant CVE, et d'appliquer sans délai les correctifs correspondants. Aucune solution de contournement n'a été communiquée à ce stade, rendant la mise à jour indispensable pour toute organisation exploitant ces composants.

Cette publication intervient dans un contexte de vigilance accrue autour des frameworks Java largement déployés. Les administrateurs et les responsables de la sécurité sont invités à inventorier leurs versions de Spring et à planifier les mises à jour au plus tôt.