Dix-sept vulnérabilités corrigées dans le framework Spring : mises à jour critiques

Mise à jour de sécurité critique pour le framework Spring : dix-sept failles colmatées

L'éditeur du framework Spring a publié des correctifs pour dix-sept vulnérabilités, dont plusieurs jugées critiques, affectant des composants majeurs comme Spring Boot et Spring Integration.

Publié le 11 juin 2026 à 12h41 · 2 min de lecture

Dix-sept vulnérabilités corrigées dans plusieurs composants du framework Spring.

L'éditeur du framework Spring a diffusé, les 10 et 11 juin 2026, une série de bulletins de sécurité portant sur un total de dix-sept failles affectant plusieurs de ses composants. Les correctifs concernent notamment les versions des modules Boot, Integration, Statemachine, Web Flow et Web Services.

Plusieurs de ces vulnérabilités sont considérées comme critiques, pouvant permettre à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à la confidentialité ou à l'intégrité des données, un contournement de la politique de sécurité, ou encore une falsification de requêtes côté serveur (SSRF).

Composants et versions concernés

Les mises à jour de sécurité couvrent les gammes de versions suivantes :

Spring Boot : versions 3.4.x (jusqu'à 3.4.17 inclus), 3.5.x (jusqu'à 3.5.15 en source ouverte ou 3.5.14.1 sous licence commerciale), 4.0.x (jusqu'à 4.0.7 en source ouverte ou 4.0.6.1 sous licence commerciale).
Spring Integration : versions 5.5.x (jusqu'à 5.5.21), 6.3.x (jusqu'à 6.3.15), 6.4.x (jusqu'à 6.4.12), 6.5.x (jusqu'à 6.5.9 en source ouverte ou 6.5.8.1 sous licence commerciale), 7.0.x (jusqu'à 7.0.5 en source ouverte ou 7.0.4.1 sous licence commerciale).
Spring Statemachine : versions 3.2.x (jusqu'à 3.2.5), 4.0.x (jusqu'à 4.0.2 en source ouverte ou 4.0.1.1 sous licence commerciale).
Spring Web Flow : versions 2.5.x (jusqu'à 2.5.2), 3.0.x (jusqu'à 3.0.2 en source ouverte ou 3.0.1.1 sous licence commerciale), 4.0.x (jusqu'à 4.0.1 en source ouverte ou 4.0.0.1 sous licence commerciale).
Spring Web Services : versions 3.1.x (jusqu'à 3.1.9), 4.0.x (jusqu'à 4.0.19), 4.1.x (jusqu'à 4.1.4 en source ouverte ou 4.1.3.1 sous licence commerciale), 5.0.x (jusqu'à 5.0.2 en source ouverte ou 5.0.1.1 sous licence commerciale).

Nature des vulnérabilités

Les failles recensées couvrent un large spectre de risques. Les plus graves pourraient permettre l'exécution de code arbitraire à distance. D'autres failles exposent les systèmes à des risques de falsification de requêtes côté serveur (SSRF), de contournement de la politique de sécurité, ou encore d'atteinte à l'intégrité et à la confidentialité des données. Pour certaines vulnérabilités, l'éditeur n'a pas précisé la nature exacte du risque encouru.

Mesures recommandées

Les administrateurs et les équipes de sécurité sont invités à appliquer sans délai les mises à jour publiées par l'éditeur. Les correctifs sont disponibles sur le site officiel de Spring, via les bulletins de sécurité correspondant à chaque identifiant CVE. Il est recommandé de mettre à jour l'ensemble des composants affectés vers les versions corrigées indiquées.

Cette campagne de correctifs intervient alors que le framework Spring est largement utilisé dans l'écosystème Java pour le développement d'applications d'entreprise. La correction simultanée de dix-sept vulnérabilités souligne l'importance d'une veille de sécurité active sur les dépendances logicielles.

Mise à jour de sécurité critique pour le framework Spring : dix-sept failles colmatées

Évolution du sujet

À lire ensuite

MacBook Ultra : macOS 27 révèle trois fonctionnalités qui préparent un ordinateur tactile

Les indices de macOS 27 qui ravivent les spéculations sur un MacBook Ultra tactile

Sous la menace de l'IA, les agences américaines sommées de corriger les failles critiques en trois jours

Spacex : plus de 70 milliards de dollars de commandes des investisseurs particuliers avant l’introduction en B...