Spring Framework : 4 CVEs critiques — SSRF et bypass LDAP

Les faits

Le 11 juin 2026, VMware/Broadcom — l'entité qui maintient l'écosystème Spring depuis son acquisition de Pivotal — a publié simultanément quatre avis de sécurité couvrant autant de composants du framework. Le CERT-FR a relayé ces avis le même jour dans son bulletin quotidien. La publication groupée, caractéristique des cycles de patch coordonnés de l'éditeur, ne doit pas masquer la diversité des vecteurs et la gravité des failles concernées — deux d'entre elles permettent des attaques Server-Side Request Forgery, et une troisième un bypass d'authentification complet.

Spring est le framework Java le plus déployé au monde. Selon les estimations de JetBrains pour 2025, Spring Boot est utilisé dans plus de 60 % des projets Java professionnels actifs. Cette omniprésence signifie que les vulnérabilités Spring ont un rayon d'impact qui dépasse de loin celui de la plupart des autres frameworks applicatifs. Les microservices, APIs REST, applications web d'entreprise, et architectures cloud-native reposent massivement sur cet écosystème — ce qui fait de chaque bulletin Spring Security un événement à traiter en priorité par les équipes DevSecOps.

La première vulnérabilité, CVE-2026-22739 (CVSS 8.6), affecte Spring Cloud Config, le service centralisé de gestion de configuration largement utilisé dans les architectures microservices Kubernetes. La faille réside dans la gestion du paramètre profile lors de la résolution des configurations. Un attaquant capable d'envoyer une requête vers l'endpoint Spring Cloud Config peut manipuler ce paramètre pour contraindre le serveur à effectuer des requêtes HTTP vers des ressources internes non prévues — une attaque Server-Side Request Forgery classique. Dans les environnements cloud, cette vulnérabilité permet potentiellement d'atteindre le service de métadonnées de l'instance (AWS IMDSv1, GCP metadata, Azure IMDS) et d'exfiltrer des tokens IAM temporaires, ouvrant la voie à des escalades de privilèges cloud.

CVE-2026-40999 (CVSS 8.6) frappe Spring Web Services (Spring-WS), le module dédié aux services SOAP. La vulnérabilité exploite le standard WS-Addressing : lorsqu'une requête SOAP contient des en-têtes WS-Addressing avec des adresses ReplyTo ou FaultTo non anonymes, Spring-WS initie des connexions sortantes vers ces adresses sans aucune vérification ni sanitisation préalable. Le résultat est une SSRF dans un contexte SOAP — particulièrement problématique car les services SOAP sont souvent déployés dans des DMZ avec des accès réseau larges, leur légitimité historique ayant engendré des règles de firewall permissives.

CVE-2026-41720 est probablement la plus exploitable des quatre. Ce bypass d'authentification dans le module LDAP de Spring Security découle d'une logique de validation défaillante dans le code de vérification des credentials. Lorsqu'un attaquant soumet une combinaison composée d'un nom d'utilisateur valide et d'un mot de passe vide ou null, l'implémentation Spring Security n'effectue pas correctement le bind LDAP d'authentification et valide l'accès malgré l'absence de credential valide. Cette faille réplique un pattern connu dans les implémentations LDAP — le « null bind » non bloqué — mais dans un contexte Spring Security censé abstraire ces subtilités protocole. Les applications utilisant Spring Security avec un backend LDAP ou Active Directory sont directement exposées à une compromission de compte sans connaissance du mot de passe.

CVE-2026-41840 affecte Spring WebFlux, le module de programmation réactive de Spring. La vulnérabilité se manifeste lors du traitement de requêtes multipart malformées ou intentionnellement malveillantes : des fuites mémoire sévères surviennent dans le mécanisme de parsing, consommant progressivement la mémoire heap de la JVM jusqu'à provoquer un OutOfMemoryError. Le résultat est un déni de service applicatif — l'instance Spring WebFlux cesse de répondre et nécessite un redémarrage. Dans une architecture microservices sans circuit breaker correctement configuré, la mise hors service d'une instance WebFlux peut provoquer une cascade de timeouts et d'erreurs sur les services dépendants.

Le CERT-FR a classifié ces quatre vulnérabilités comme nécessitant une action urgente dans son bulletin du 11 juin 2026, particulièrement CVE-2026-22739 et CVE-2026-40999 pour les SSRF dans les environnements cloud, et CVE-2026-41720 pour le bypass d'authentification. Les correctifs sont disponibles dans Spring Cloud Config 4.2.x, Spring Web Services 4.0.x, Spring Security 6.4.x et Spring Framework 6.2.x. La plupart des applications Spring Boot 3.3+ bénéficient de ces correctifs via une simple montée de version du parent POM Spring Boot.

En parallèle des correctifs Spring, le CERT-FR a publié le même jour des avis pour Traefik (contournement de politique de sécurité) et plusieurs vulnérabilités dans des produits Palo Alto Networks. La journée du 11 juin 2026 représente une vague de publications significative qui sollicite les équipes patch management sur plusieurs fronts simultanément — un phénomène de plus en plus courant qui impose une priorisation rigoureuse basée sur l'exposition réelle de chaque composant dans l'infrastructure concernée.

Pour les équipes DevSecOps intégrant Spring dans des pipelines CI/CD, il est recommandé d'automatiser la détection de ces CVE via des outils SCA (Software Composition Analysis) comme Dependabot, Snyk ou OWASP Dependency-Check. La fenêtre entre la publication d'un advisory Spring et le développement d'un exploit public se compte désormais en jours, non en semaines.

Impact et exposition

CVE-2026-41720 (bypass LDAP) présente le risque le plus immédiat : toute application Spring Security configurée avec un backend LDAP ou Active Directory et exposant un formulaire de connexion est vulnérable à une prise de contrôle de compte sans credential. CVE-2026-22739 et CVE-2026-40999 nécessitent qu'un attaquant puisse envoyer des requêtes vers les endpoints concernés — critique pour les Config Servers exposés sur des réseaux partiellement de confiance. CVE-2026-41840 affecte principalement la disponibilité des applications Spring WebFlux face à des requêtes multipart malveillantes.

Recommandations

• Monter Spring Boot vers la dernière version 3.3.x ou 3.4.x pour bénéficier des correctifs groupés via le BOM Spring Boot
• CVE-2026-41720 en priorité absolue : mettre à jour Spring Security vers 6.4.x et auditer les logs d'authentification LDAP pour détecter des connexions avec mot de passe vide
• Restreindre l'accès au Spring Cloud Config Server aux seuls services internes légitimes via des règles réseau ou un API Gateway
• Pour les services SOAP Spring-WS : filtrer ou rejeter les requêtes contenant des en-têtes WS-Addressing avec des adresses ReplyTo/FaultTo externes
• Configurer des limites de taille sur les requêtes multipart dans Spring WebFlux (spring.webflux.multipart.max-request-size) comme mitigation pour CVE-2026-41840