Numéro de série : AV26-558
Date : 9 juin 2026
Le 8 juin 2026, Spring a publié des bulletins de sécurité visant à corriger des vulnérabilités liées aux produits suivants :
- Micrometer / Micrometer-core / jetty11 / jetty12 – multiples versions.
- Spring LDAP – multiple versions;
- Spring Framework – multiple versions.
Le Centre pour la cybersécurité recommande aux utilisatrices, aux utilisateurs, aux administratrices et aux administrateurs de consulter les pages Web ci‑dessous et d'appliquer les mises à jour nécessaires.
- CVE-2026-40984: Micrometer HTTP server instrumentations DoS vulnerability (en anglais seulement)
- CVE-2026-40983: Micrometer gRPC server instrumentation DoS vulnerability (en anglais seulement)
- CVE-2026-41720: Authentication Bypass with Empty Password in Spring LDAP (en anglais seulement)
- CVE-2026-41842: Spring Framework Denial of Service via Versioned Resources in Spring MVC and WebFlux (en anglais seulement)
- Spring Security Advisories (en anglais seulement)