Multiple critical vulnerabilities (CVE-2026-40970 through CVE-2026-40977) in Spring Boot allow for remote code execution, data confidentiality and integrity breaches, and security policy bypass. Affected versions include Spring Boot 2.7.x prior to 2.7.33, 3.3.x prior to 3.3.19, 3.4.x prior to 3.4.16, 3.5.x prior to 3.5.14, and 4.0.x prior to 4.0.6. Administrators must apply the patches provided in the referenced Spring security bulletins to upgrade to the respective fixed versions.
Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 24 avril 2026 N° CERTFR-2026-AVI-0488 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans Spring Boot Gestion du document Référence CERTFR-2026-AVI-0488 Titre Multiples vulnérabilités dans Spring Boot Date de la première version 24 avril 2026 Date de la dernière version 24 avril 2026 Source(s) Bulletin de sécurité Spring cve-2026-40970 du 23 avril 2026 Bulletin de sécurité Spring cve-2026-40971 du 23 avril 2026 Bulletin de sécurité Spring cve-2026-40972 du 23 avril 2026 Bulletin de sécurité Spring cve-2026-40973 du 23 avril 2026 Bulletin de sécurité Spring cve-2026-40974 du 23 avril 2026 Bulletin de sécurité Spring cve-2026-40975 du 23 avril 2026 Bulletin de sécurité Spring cve-2026-40976 du 23 avril 2026 Bulletin de sécurité Spring cve-2026-40977 du 23 avril 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Atteinte à l'intégrité des données Atteinte à la confidentialité des données Contournement de la politique de sécurité Exécution de code arbitraire à distance Systèmes affectés Boot versions 2.7.x antérieures à 2.7.33 Boot versions 3.3.x antérieures à 3.3.19 Boot versions 3.4.x antérieures à 3.4.16 Boot versions 3.5.x antérieures à 3.5.14 Boot versions 4.0.x antérieures à 4.0.6 Résumé De multiples vulnérabilités ont été découvertes dans Spring Boot. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à la confidentialité des données et une atteinte à l'intégrité des données. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité Spring cve-2026-40970 du 23 avril 2026 https://spring.io/security/cve-2026-40970 Bulletin de sécurité Spring cve-2026-40971 du 23 avril 2026 https://spring.io/security/cve-2026-40971 Bulletin de sécurité Spring cve-2026-40972 du 23 avril 2026 https://spring.io/security/cve-2026-40972 Bulletin de sécurité Spring cve-2026-40973 du 23 avril 2026 https://spring.io/security/cve-2026-40973 Bulletin de sécurité Spring cve-2026-40974 du 23 avril 2026 https://spring.io/security/cve-2026-40974 Bulletin de sécurité Spring cve-2026-40975 du 23 avril 2026 https://spring.io/security/cve-2026-40975 Bulletin de sécurité Spring cve-2026-40976 du 23 avril 2026 https://spring.io/security/cve-2026-40976 Bulletin de sécurité Spring cve-2026-40977 du 23 avril 2026 https://spring.io/security/cve-2026-40977 Référence CVE CVE-2026-40970 https://www.cve.org/CVERecord?id=CVE-2026-40970 Référence CVE CVE-2026-40971 https://www.cve.org/CVERecord?id=CVE-2026-40971 Référence CVE CVE-2026-40972 https://www.cve.org/CVERecord?id=CVE-2026-40972 Référence CVE CVE-2026-40973 https://www.cve.org/CVERecord?id=CVE-2026-40973 Référence CVE CVE-2026-40974 https://www.cve.org/CVERecord?id=CVE-2026-40974 Référence CVE CVE-2026-40975 https://www.cve.org/CVERecord?id=CVE-2026-40975 Référence CVE CVE-2026-40976 https://www.cve.org/CVERecord?id=CVE-2026-40976 Référence CVE CVE-2026-40977 https://www.cve.org/CVERecord?id=CVE-2026-40977 Gestion détaillée du document le 24 avril 2026 Version initiale