VMware Tanzu: Verschiedene Spring-Produkte sind attackierbar
Angreifer können Schwachstellen in VMware Tanz Spring Boot, Framework und Security ausnutzen. Sicherheitspatches stehen zum Download bereit.
(Bild: Artur Szczybylo / Shutterstock.com)
Nutzen Angreifer eine „kritische“ Sicherheitslücke im Authentifizierungs- und Zugriffskontroll-Framework VMware Tanzu Spring Security aus, können sie auf eigentlich geschützte Daten zugreifen. Weitere Softwareschwachstellen gefährden Spring Boot und Framework. Bislang gibt es keine Berichte zu Attacken. Sicherheitsupdates schaffen Abhilfe.
Instanzen vor möglichen Angriffen schützen
Wie aus einer Warnmeldung hervorgeht, sind von der „kritischen“ Lücke (CVE-2026-22732) in Spring Security auch nicht mehr im Support befindliche Versionen bedroht. Im Umgang mit HTTP-Headern kann es zu Fehlern kommen, sodass Angreifer unrechtmäßig auf sensible Daten zugreifen können. Dagegen sind den Entwicklern zufolge die Ausgaben 5.7.22, 5.8.24, 6.3.15, 6.4.15, 6.5.9 und 7.0.4 geschützt.
Videos by heise
Im Kontext von Spring Boot können Angreifer unter anderem die Authentifizierung umgehen (etwa CVE-2026-22731 „hoch“). An dieser Stelle sind die Versionen 2.7.32, 3.3.18, 3.4.15, 3.5.12 und 4.0.4 repariert. Nach Attacken auf Spring Framework können Informationen leaken (CVE-2026-22737 „mittel“). Die Schwachstelle ist in den Ausgaben 5.3.47, 6.1.26, 6.2.17 und 7.0.6 geschlossen.
(des)
