CVE-2026-40976 expose les endpoints Actuator de Spring Boot 4.0 sans authentification (CVSS 9.1). Patch dans 4.0.6, mise à jour urgente.
En bref
- CVE-2026-40976, CVSS 9.1, bypass d'autorisation pré-auth dans Spring Boot 4.0
- Endpoints Actuator (/env, /heapdump, /configprops) exposés à un attaquant anonyme
- Correctif disponible dans Spring Boot 4.0.6, mise à jour immédiate recommandée
Les faits
Spring a publié le 24 avril 2026 un advisory pour la CVE-2026-40976, une faille de bypass d'autorisation affectant Spring Boot 4.0.0 à 4.0.5. Le score CVSS 3.1 est de 9.1 et l'exploitation ne demande aucune authentification. La vulnérabilité touche la chaîne de filtres de sécurité par défaut de Spring Boot, qui échoue silencieusement à appliquer les règles d'autorisation lorsqu'une combinaison de dépendances spécifique est présente.
Les conditions d'exposition sont précises : application web servlet, absence de configuration Spring Security personnalisée, dépendance sur spring-boot-actuator-autoconfigure, et absence de la dépendance spring-boot-health. Dans cette configuration, tous les endpoints Actuator deviennent accessibles à un attaquant réseau anonyme. La faille a été annoncée en parallèle d'autres correctifs (CVE-2026-40972 attaque temporelle DevTools, CVE-2026-40973 contournement de sécurité), pour un total de huit vulnérabilités corrigées dans le cycle d'avril.
Impact et exposition
Les endpoints Actuator ne sont pas anodins. /actuator/env divulgue les variables d'environnement (souvent porteuses de credentials, clés API, URLs de base de données). /actuator/heapdump permet de télécharger l'intégralité du tas Java, où dorment tokens, sessions et secrets en mémoire. /actuator/configprops expose la configuration applicative complète, et /actuator/loggers laisse modifier dynamiquement les niveaux de logs. La chaîne d'exploitation classique consiste à extraire les secrets via /env ou heapdump, puis pivoter vers les bases de données ou services internes avec ces credentials.
L'ACN italienne a relayé l'alerte le 24 avril en classant le risque comme critique, et plusieurs CERT européens ont suivi. La vulnérabilité touche potentiellement des dizaines de milliers d'applications, Spring Boot étant le framework Java le plus utilisé en entreprise. Le piège est insidieux : il ne s'agit pas d'une mauvaise configuration mais du comportement par défaut documenté du framework.
Recommandations
- Mettre à jour vers Spring Boot 4.0.6 ou supérieur via Maven Central
- Vérifier l'exposition des endpoints Actuator depuis l'extérieur du périmètre
- Configurer management.server.port pour exposer Actuator sur un port d'administration distinct
- Restreindre management.endpoints.web.exposure.include à la liste minimale nécessaire
- Ajouter une configuration Spring Security explicite avec règles d'autorisation sur /actuator/**
- Auditer les heapdumps existants en cas de fuite suspecte
Alerte critique
L'absence de configuration Spring Security personnalisée est extrêmement courante dans les déploiements Spring Boot. Toute application Spring Boot 4.0.x exposée publiquement sans configuration explicite des règles d'autorisation Actuator doit être considérée comme potentiellement compromise tant que l'upgrade n'est pas effectué.
Comment savoir si mon application est vulnérable ?
Vérifiez votre version de Spring Boot dans pom.xml ou build.gradle. Si vous êtes entre 4.0.0 et 4.0.5 sans configuration SecurityFilterChain explicite et sans dépendance spring-boot-health, vous êtes exposés. Un test simple depuis un réseau externe : tentez un GET sur /actuator/env. Une réponse 200 avec des variables d'environnement signe la faille.
La segmentation réseau suffit-elle en attendant le patch ?
Une exposition uniquement sur un port d'administration interne réduit la surface, mais ne remplace pas le correctif : un attaquant ayant déjà un pied dans le réseau (phishing, VPN compromis) peut exploiter la faille latéralement. Le patch reste prioritaire.
Le sujet rejoint la vague récente de RCE Java côté middleware, notamment CVE-2026-34197 sur Apache ActiveMQ Jolokia et CVE-2026-40477 SSTI Thymeleaf. Ces failles partagent un dénominateur commun : des endpoints d'observabilité ou d'administration exposés par défaut, mal protégés.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
CVE-2026-32202 : Windows Shell, exploitation active confirmée
Microsoft confirme l'exploitation active de CVE-2026-32202 dans Windows Shell : LNK auto-parsé déclenche une coercition NTLM zero-click. Patch urgent.
Totolink A8000RU CVE-2026-7156 : RCE pré-auth, exploit public
CVE-2026-7156 (CVSS 9.8) ouvre une RCE pré-auth sur les routeurs Totolink A8000RU via le CGI cstecgi. Exploit public, aucun patch constructeur.
Google injecte 40 Md$ dans Anthropic, après les TPU
Google confirme un investissement allant jusqu'à 40 Md$ dans Anthropic, en plus des accords TPU. Alphabet aligne son pari IA sur celui de Microsoft.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire