Multiple critical vulnerabilities in Spring products, including CVE-2026-41705 (CVSS 8.6 High), can lead to remote code execution, denial of service, and data confidentiality breaches. Affected versions include Spring Cloud Function 3.2.x prior to 3.2.16, 4.1.x prior to 4.1.10, 4.2.x prior to 4.2.6, 4.3.x prior to 4.3.3, and 5.0.x prior to 5.0.2, as well as Spring 1.0.x prior to 1.0.7 and 1.1.x prior to 1.1.6. Administrators must apply the vendor-provided patches detailed in the referenced Spring security bulletins.
Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 11 mai 2026 N° CERTFR-2026-AVI-0554 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans les produits Spring Gestion du document Référence CERTFR-2026-AVI-0554 Titre Multiples vulnérabilités dans les produits Spring Date de la première version 11 mai 2026 Date de la dernière version 11 mai 2026 Source(s) Bulletin de sécurité Spring cve-2026-40989 du 08 mai 2026 Bulletin de sécurité Spring cve-2026-40990 du 08 mai 2026 Bulletin de sécurité Spring cve-2026-41705 du 08 mai 2026 Bulletin de sécurité Spring cve-2026-41712 du 08 mai 2026 Bulletin de sécurité Spring cve-2026-41713 du 08 mai 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Atteinte à la confidentialité des données Contournement de la politique de sécurité Déni de service à distance Exécution de code arbitraire à distance Systèmes affectés Cloud Function versions 3.2.x antérieures à 3.2.16 Cloud Function versions 4.1.x antérieures à 4.1.10 Cloud Function versions 4.2.x antérieures à 4.2.6 Cloud Function versions 4.3.x antérieures à 4.3.3 Cloud Function versions 5.0.x antérieures à 5.0.2 Spring versions 1.0.x antérieures à 1.0.7 Spring versions 1.1.x antérieures à 1.1.6 Résumé De multiples vulnérabilités ont été découvertes dans les produits Spring. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité Spring cve-2026-40989 du 08 mai 2026 https://spring.io/security/cve-2026-40989 Bulletin de sécurité Spring cve-2026-40990 du 08 mai 2026 https://spring.io/security/cve-2026-40990 Bulletin de sécurité Spring cve-2026-41705 du 08 mai 2026 https://spring.io/security/cve-2026-41705 Bulletin de sécurité Spring cve-2026-41712 du 08 mai 2026 https://spring.io/security/cve-2026-41712 Bulletin de sécurité Spring cve-2026-41713 du 08 mai 2026 https://spring.io/security/cve-2026-41713 Référence CVE CVE-2026-40989 https://www.cve.org/CVERecord?id=CVE-2026-40989 Référence CVE CVE-2026-40990 https://www.cve.org/CVERecord?id=CVE-2026-40990 Référence CVE CVE-2026-41705 https://www.cve.org/CVERecord?id=CVE-2026-41705 Référence CVE CVE-2026-41712 https://www.cve.org/CVERecord?id=CVE-2026-41712 Référence CVE CVE-2026-41713 https://www.cve.org/CVERecord?id=CVE-2026-41713 Gestion détaillée du document le 11 mai 2026 Version initiale