VMware Tanzu Spring Boot: Angreifer können auf Endpoints zugreifen

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Angreifer können an mehrere Sicherheitslücken in VMware Tanzu Spring Boot ansetzen und Instanzen im schlimmsten Fall vollständig kompromittieren. Sicherheitsupdates sind verfügbar. Derzeit gibt es seitens des Softwareherstellers keine Berichte, dass Angreifer die Lücken bereits ausnutzen.

Unbefugte Zugriffe möglich

Die Entwickler versichern, die Sicherheitsprobleme in den Ausgaben 3.5.14 und 4.0.6 gelöst zu haben. Sie weisen zusätzlich darauf hin, dass auch nicht mehr im Support befindliche Versionen verwundbar sind. An dieser Stelle müssen Admins auf eine noch untersützte Version upgraden.

Insgesamt wurden neun Schwachstellen geschlossen. Wie aus einer Warnmeldung hervorgeht, ist eine (CVE-2026-40976) mit dem Bedrohungsgrad „kritisch“ eingestuft. Weil die Authentifizierung nicht verlässlich funktioniert, können Angreifer auf alle Endpoints zugreifen.

Damit eine solche Attacke klappt, müssen aber mehrere in der Warnmeldung aufgelisteten Voraussetzungen erfüllt sein. So muss es sich etwa um eine Servlet-basierte Web-Anwendung handeln. Wie ein derartiger Angriff im Detail ablaufen könnte, ist bislang unklar.

Weitere Gefahren

Ferner können Angreifer noch unter anderem aus der Ferne Schadcode ausführen (CVE-2026-40972 „hoch“) oder Instanzen dazu bringen, sich mit bösartigen Hosts zu verbinden (CVE-2026-40974 „mittel“).

Weitere Informationen zu den geschlossenen Softwareschwachstellen und bedrohten Versionen finden Admins in den verlinkten Warnmeldungen. Liste nach Bedrohungsgrad absteigend sortiert:

• CVE-2026-40976: Default security filter chain has no authorization rule with Actuator but without Health
• CVE-2026-40972: DevTools remote secret comparison is vulnerable to timing attacks
• CVE-2026-40973: Predictable temp directory accepted without ownership verification
• CVE-2026-40970: Elasticsearch auto-configuration with an SSL bundle disables TLS hostname verification
• CVE-2026-40971: RabbitMQ auto-configuration with an SSL bundle disables TLS hostname verification
• CVE-2026-40974: Cassandra SSL auto-configuration disables TLS hostname verification
• CVE-2026-40975: Random value property source uses a weak PRNG unsuitable for secrets
• CVE-2026-40977: PID file write follows symlinks at predictable default path

Zuletzt haben die Entwickler mehrere Sicherheitslücken in VMware Tanzu Spring Security geschlossen.

(des)