S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 11 juin 2026
N° CERTFR-2026-AVI-0739
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Spring

Gestion du document

Référence CERTFR-2026-AVI-0739
Titre Multiples vulnérabilités dans les produits Spring
Date de la première version11 juin 2026
Date de la dernière version11 juin 2026
Source(s) Bulletin de sécurité Spring cve-2026-40985 du 10 juin 2026
Bulletin de sécurité Spring cve-2026-40986 du 10 juin 2026
Bulletin de sécurité Spring cve-2026-40987 du 10 juin 2026
Bulletin de sécurité Spring cve-2026-40992 du 10 juin 2026
Bulletin de sécurité Spring cve-2026-40994 du 10 juin 2026
Bulletin de sécurité Spring cve-2026-40995 du 10 juin 2026
Bulletin de sécurité Spring cve-2026-40996 du 10 juin 2026
Bulletin de sécurité Spring cve-2026-40997 du 10 juin 2026
Bulletin de sécurité Spring cve-2026-40998 du 10 juin 2026
Bulletin de sécurité Spring cve-2026-40999 du 10 juin 2026
Bulletin de sécurité Spring cve-2026-41000 du 10 juin 2026
Bulletin de sécurité Spring cve-2026-41862 du 11 juin 2026

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Exécution de code arbitraire à distance
  • Falsification de requêtes côté serveur (SSRF)
  • Non spécifié par l'éditeur

Systèmes affectés

  • Boot versions 3.4.x antérieures à 3.4.17
  • Boot versions 3.5.x antérieures à 3.5.15 (source ouverte) ou 3.5.14.1 (licence commerciale)
  • Boot versions 4.0.x antérieures à 4.0.7 (source ouverte) ou 4.0.6.1 (licence commerciale)
  • Integration versions 5.5.x antérieures à 5.5.21
  • Integration versions 6.3.x antérieures à 6.3.15
  • Integration versions 6.4.x antérieures à 6.4.12
  • Integration versions 6.5.x antérieures à 6.5.9 (source ouverte) ou 6.5.8.1 (licence commerciale)
  • Integration versions 7.0.x antérieures à 7.0.5 (source ouverte) ou 7.0.4.1 (licence commerciale)
  • Statemachine versions 3.2.x antérieures à 3.2.5
  • Statemachine versions 4.0.x antérieures à 4.0.2 (source ouverte) ou 4.0.1.1 (licence commerciale)
  • Web Flow versions 2.5.x antérieures à 2.5.2
  • Web Flow versions 3.0.x antérieures à 3.0.2 (source ouverte) ou 3.0.1.1 (licence commerciale)
  • Web Flow versions 4.0.x antérieures à 4.0.1 (source ouverte) ou 4.0.0.1 (licence commerciale)
  • Web Services versions 3.1.x antérieures à 3.1.9
  • Web Services versions 4.0.x antérieures à 4.0.19
  • Web Services versions 4.1.x antérieures à 4.1.4 (source ouverte) ou 4.1.3.1 (licence commerciale)
  • Web Services versions 5.0.x antérieures à 5.0.2 (source ouverte) ou 5.0.1.1 (licence commerciale)

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Spring. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à la confidentialité des données et une falsification de requêtes côté serveur (SSRF).

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 11 juin 2026
    Version initiale