Le CERT-FR alerte sur quatre nouvelles vulnérabilités dans les produits Spring

L'agence nationale de la sécurité des systèmes d'information, via son CERT-FR, a émis le 16 juin 2026 un avis relatif à de multiples vulnérabilités découvertes dans les produits Spring. Cet avis, identifié sous la référence CERTFR-2026-AVI-0759, fait suite à quatre bulletins de sécurité publiés par l'éditeur le 10 juin 2026.

Des risques variés pour les systèmes concernés

Selon l'avis officiel, les failles identifiées exposent les systèmes à deux catégories principales de risques. La première, jugée particulièrement critique, concerne une exécution de code arbitraire à distance. La seconde est qualifiée de « non spécifié par l'éditeur », ce qui laisse planer une incertitude sur la nature exacte du problème de sécurité associé.

Un large périmètre d'impact

Les versions affectées couvrent plusieurs branches du framework Spring. Sont concernées les éditions Spring Boot Entreprise versions 3.5.x antérieures à 3.5.15 et 4.0.x antérieures à 4.0.6.1, ainsi que les éditions Spring Boot OSS versions 3.5.x antérieures à 3.5.14.1 et 4.0.x antérieures à 4.0.7. Les versions Spring Boot 2.7.x antérieures à 2.7.34, 3.3.x antérieures à 3.3.20 et 3.4.x antérieures à 3.4.17 sont également vulnérables. Enfin, Spring for GraphQL est touché dans ses versions 1.0.x antérieures à 1.0.7, 1.3.x antérieures à 1.3.9, 1.4.x antérieures à 1.4.6 et 2.0.x antérieures à 2.0.4.

Des correctifs disponibles

L'éditeur Spring a diffusé des bulletins de sécurité dédiés à chaque faille, sous les références CVE-2026-41001, CVE-2026-41699, CVE-2026-41700 et CVE-2026-41856. Le CERT-FR recommande aux administrateurs et aux responsables de sécurité de se reporter à ces bulletins pour obtenir les correctifs nécessaires et mettre à jour leurs installations dans les plus brefs délais.