Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-04241

Опубликовано: 23 мар. 2026
Источник: fstec
CVSS3: 8.6
CVSS2: 9
EPSS Средний

Описание

Уязвимость сервера Spring Cloud Config связана с неверным ограничением имени пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации путем отправки специально сформированного запроса

Вендор

Pivotal Software Inc.

Наименование ПО

Spring Cloud Config

Версия ПО

от 3.1 до 3.1.13 (Spring Cloud Config)
от 4.1 до 4.1.9 (Spring Cloud Config)
от 4.2 до 4.2.6 (Spring Cloud Config)
от 4.3 до 4.3.2 (Spring Cloud Config)
от 5.0 до 5.0.2 (Spring Cloud Config)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,6)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений (WAF) для фильтрации сетевого трафика;
- ограничение доступа к уязвимому программному обеспечению, используя схему доступа по «белым спискам»;
- использование SIEM-систем для отслеживания попыток эксплуатации уязвимости;
- ограничение доступа из внешних сетей (Интернет).
Использование рекомендаций:
https://spring.io/security/cve-2026-22739

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 94%
0.11603
Средний

8.6 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2026-22739

CVSS3: 8.6
nvd
12 дней назад

Vulnerability in Spring Cloud when substituting the profile parameter from a request made to the Spring Cloud Config Server configured to the native file system as a backend, because it was possible to access files outside of the configured search directories.This issue affects Spring Cloud: from 3.1.X before 3.1.13, from 4.1.X before 4.1.9, from 4.2.X before 4.2.3, from 4.3.X before 4.3.2, from 5.0.X before 5.0.2.

debian логотип

CVE-2026-22739

CVSS3: 8.6
debian
12 дней назад

Vulnerability in Spring Cloud when substituting the profile parameter ...

github логотип

GHSA-3qwq-q9vm-5j42

CVSS3: 8.6
github
12 дней назад

Spring Cloud Config Server: Path Traversal via Profile Parameter Allows Arbitrary File Access

EPSS

Процентиль: 94%
0.11603
Средний

8.6 High

CVSS3

9 Critical

CVSS2