Multiple vulnerabilities in Spring Authorization Server and Spring Security, including Server-Side Request Forgery (SSRF), Cross-Site Scripting (XSS), and privilege escalation, have been disclosed. The CVSS scores for three referenced CVEs range from Low (3.7) to Medium (6.8). Affected versions include Spring Authorization Server 1.3.x prior to 1.3.11, 1.4.x prior to 1.4.10, and 1.5.x prior to 1.5.7, as well as Spring Security 5.7.x prior to 5.7.23, 5.8.x prior to 5.8.25, 6.3.x prior to 6.3.16, 6.4.x prior to 6.4.16, 6.5.x prior to 6.5.10, and 7.0.x prior to 7.0.5.
Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 22 avril 2026 N° CERTFR-2026-AVI-0477 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans les produits Spring Gestion du document Référence CERTFR-2026-AVI-0477 Titre Multiples vulnérabilités dans les produits Spring Date de la première version 22 avril 2026 Date de la dernière version 22 avril 2026 Source(s) Bulletin de sécurité Spring cve-2026-22746 du 20 avril 2026 Bulletin de sécurité Spring cve-2026-22747 du 20 avril 2026 Bulletin de sécurité Spring cve-2026-22748 du 20 avril 2026 Bulletin de sécurité Spring cve-2026-22753 du 20 avril 2026 Bulletin de sécurité Spring cve-2026-22754 du 20 avril 2026 Bulletin de sécurité Spring cve-2026-22751 du 21 avril 2026 Bulletin de sécurité Spring cve-2026-22752 du 21 avril 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Contournement de la politique de sécurité Falsification de requêtes côté serveur (SSRF) Injection de code indirecte à distance (XSS) Non spécifié par l'éditeur Élévation de privilèges Systèmes affectés Authorization Server versions 1.3.x antérieures à 1.3.11 Authorization Server versions 1.4.x antérieures à 1.4.10 Authorization Server versions 1.5.x antérieures à 1.5.7 Security versions 5.7.x antérieures à 5.7.23 Security versions 5.8.x antérieures à 5.8.25 Security versions 6.3.x antérieures à 6.3.16 Security versions 6.4.x antérieures à 6.4.16 Security versions 6.5.x antérieures à 6.5.10 Security versions 7.0.x antérieures à 7.0.5 Résumé De multiples vulnérabilités ont été découvertes dans les produits Spring. Certaines d'entre elles permettent à un attaquant de provoquer une élévation de privilèges, une falsification de requêtes côté serveur (SSRF) et une injection de code indirecte à distance (XSS). Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité Spring cve-2026-22746 du 20 avril 2026 https://spring.io/security/cve-2026-22746 Bulletin de sécurité Spring cve-2026-22747 du 20 avril 2026 https://spring.io/security/cve-2026-22747 Bulletin de sécurité Spring cve-2026-22748 du 20 avril 2026 https://spring.io/security/cve-2026-22748 Bulletin de sécurité Spring cve-2026-22753 du 20 avril 2026 https://spring.io/security/cve-2026-22753 Bulletin de sécurité Spring cve-2026-22754 du 20 avril 2026 https://spring.io/security/cve-2026-22754 Bulletin de sécurité Spring cve-2026-22751 du 21 avril 2026 https://spring.io/security/cve-2026-22751 Bulletin de sécurité Spring cve-2026-22752 du 21 avril 2026 https://spring.io/security/cve-2026-22752 Référence CVE CVE-2026-22746 https://www.cve.org/CVERecord?id=CVE-2026-22746 Référence CVE CVE-2026-22747 https://www.cve.org/CVERecord?id=CVE-2026-22747 Référence CVE CVE-2026-22748 https://www.cve.org/CVERecord?id=CVE-2026-22748 Référence CVE CVE-2026-22751 https://www.cve.org/CVERecord?id=CVE-2026-22751 Référence CVE CVE-2026-22752 https://www.cve.org/CVERecord?id=CVE-2026-22752 Référence CVE CVE-2026-22753 https://www.cve.org/CVERecord?id=CVE-2026-22753 Référence CVE CVE-2026-22754 https://www.cve.org/CVERecord?id=CVE-2026-22754 Gestion détaillée du document le 22 avril 2026 Version initiale