Numéro de série : AV26-431
Date : 7 mai 2026
Le 6 mai 2026, Spring a publié des bulletins de sécurité visant à corriger des vulnérabilités liées à de multiples produits. Ces mises à jour de sécurité comprenaient un correctif critique pour le produit suivant :
- Spring Cloud Config – multiples versions.
Le Centre pour la cybersécurité recommande aux utilisatrices, aux utilisateurs, aux administratrices et aux administrateurs de consulter les pages Web ci‑dessous et d'appliquer les mises à jour nécessaires.
- CVE-2026-40981: Spring Cloud Config Clients Can Access Secrets From Any Project The Config Server Has Access To On Google Secrets Manager (en anglais seulement)
- CVE-2026-40982: Directory Traversal with spring-cloud-config-server (en anglais seulement)
- CVE-2026-41002: Spring Cloud Config Server Susceptible To TOCTOU Attack (en anglais seulement)
- Spring Security Advisories (en anglais seulement)