ГлавнаяБаза уязвимостей БДУ → BDU:2026-03480
9.4критическая

BDU:2026-03480 (CVE-2026-22732)

Уязвимость Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security, связанная с использованием небезопасной прямой ссылкой на объект, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2026-03-23
Описание

Уязвимость Java-фреймворка для обеспечения безопасности промышленных приложений Spring Security связана с использованием небезопасной прямой ссылкой на объект. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированного HTTP-запроса

Затрагиваемое ПО и версии
Spring Security (от 5.7.0 до 5.7.21 включительно)Spring Security (от 5.8.0 до 5.8.23 включительно)Spring Security (от 6.3.0 до 6.3.14 включительно)Spring Security (от 6.4.0 до 6.4.14 включительно)Spring Security (от 6.5.0 до 6.5.8 включительно)Spring Security (от 7.0.0 до 7.0.3 включительно)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений (WAF) для фильтрации сетевого трафика;
- ограничение доступа к уязвимому программному обеспечению, используя схему доступа по «белым спискам»;
- использование SIEM-систем для отслеживания попыток эксплуатации уязвимости;
- ограничение доступа из внешних сетей (Интернет).

Использование рекомендаций:
https://spring.io/security/cve-2026-22732

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
https://spring.io/security/cve-2026-22732
Проверьте безопасность своего сайта и почты → Полная проверка домена