L'équipe Spring corrige deux nouvelles vulnérabilités de sécurité dans Cloud Gateway et Cloud Sleuth

Le 11 juin 2026, l'éditeur du framework Spring a publié des correctifs de sécurité visant deux vulnérabilités identifiées sous les références CVE-2026-41708 et CVE-2026-47825. L'alerte émise le lendemain par le centre gouvernemental français de veille et d'alerte (CERT-FR) précise que ces failles affectent plusieurs versions des produits Cloud Gateway et Cloud Sleuth.

Produits et versions concernés

Selon les bulletins de sécurité de Spring, les versions antérieures à 3.1.13 de Cloud Gateway (branche 3.1.x) sont vulnérables, de même que les versions 4.1.x et 4.2.x antérieures à 4.2.9, les versions 4.3.x antérieures à 4.3.4.1 ou 4.3.5, et les versions 5.0.x antérieures à 5.0.1.1 ou 5.0.2. Pour le composant Cloud Sleuth, les versions 3.1.x antérieures à 3.1.14 sont également concernées.

Nature des risques

L'une des vulnérabilités, CVE-2026-41708, permet à un attaquant de provoquer un déni de service à distance. La seconde faille, CVE-2026-47825, est décrite comme posant un problème de sécurité dont la nature précise n'a pas été spécifiée par l'éditeur.

Recommandations

Le CERT-FR recommande aux utilisateurs et aux administrateurs système de se référer aux bulletins de sécurité publiés par Spring sur son site officiel afin d'appliquer les mises à jour nécessaires. Aucune solution de contournement n'a été communiquée pour ces failles ; seule l'installation des versions corrigées permet de se prémunir contre les risques identifiés.