Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Vmware›Приложениеnvd

Spring Cloud Config

Уязвимости

8

Эксплуатируемые

1

Макс. CVSS

9.1

Макс. EPSS

0.95586

Распределение по критичности

Критический

1

Высокий

3

Средний

4

Низкий

0

Затронутые диапазоны версий

1.4.0–1.4.62.1.0–2.1.72.1.0–2.1.93.1.0–3.1.143.1.0–3.1.6

Также сопоставлено как (исходные строки): spring_cloud_config,spring_cloud_vault,spring_vault

Топ уязвимостей

CVE-2026-40982Spring Cloud Config позволяет приложениям обслуживать произвольные текстовые и двоичные файлы через модуль spring-cloud-config-server. Вредоносный пользователь или злоумышленник может отправить запрос с помощью специально созданного URL-адреса, который может привести к атаке на отслеживание каталога. Spring Cloud Config 3.1x: по 3.1.13 (включительно); повышение до 3.1.14 или выше (только поддержка предприятий). Spring Cloud Config 4.1.x: поступает с 4.1.0 до 4.1.9 (включительно); обновление до 4.1.10 или выше (только поддержка предприятий). Spring Cloud Config 4.2.x: поступает с 4.2.0 до 4.2.6 (включительно); обновление до 4.2.7 или выше (только поддержка предприятий). Spring Cloud Config 4.3.x: поступает с 4.3.0 до 4.3.2 (включительно); повышение до 4.3.3 или выше. Spring Cloud Config 5.0.x: поступает с 5.0.0 до 5.0.2 (включительно); обновление до 5.0.3 или выше.

CVE-2026-41002Базовый каталог (`spring.cloud.config.server.git.basedir`), используемый Spring Cloud Config Server для клонирования репозиториев Git, подвержен атакам времени проверки (TOCTOU). Spring Cloud Config 3.1x: по 3.1.13 (включительно); повышение до 3.1.14 или выше (только поддержка предприятий). Spring Cloud Config 4.1.x: поступает с 4.1.0 до 4.1.9 (включительно); обновление до 4.1.10 или выше (только поддержка предприятий). Spring Cloud Config 4.2.x: поступает с 4.2.0 до 4.2.6 (включительно); обновление до 4.2.7 или выше (только поддержка предприятий). Spring Cloud Config 4.3.x: поступает с 4.3.0 до 4.3.2 (включительно); повышение до 4.3.3 или выше. Spring Cloud Config 5.0.x: поступает с 5.0.0 до 5.0.2 (включительно); обновление до 5.0.3 или выше.

CVE-2026-40981При использовании Google Secrets Manager в качестве бэкэнда для сервера Spring Cloud Config клиент может создать запрос на сервер конфигурирования, потенциально раскрывающий секреты непреднамеренных проектов GCP. Spring Cloud Config 3.1x: подается с 3.1.0 по 3.1.13 (включительно); обновление до 3.1.14 или выше (только поддержка предприятий). Spring Cloud Config 4.1x: по 4.1.9 (включительно); повышение до 4.1.10 или выше (только поддержка предприятий). Spring Cloud Config 4.2.x: подается с 4.2.0 до 4.2.6 (включительно); обновление до 4.2.7 или выше (только поддержка предприятий). Spring Cloud Config 4.3.x: от 4.3.0 до 4.3.2 (включительно); обновление до 4.3.3 или выше. Spring Cloud Config 5.0.x: с 5.0.0 до 5.0.2 (включительно); обновление до 5.0.3 или выше.

CVE-2020-5410Spring Cloud Config, версии 2.2.x до 2.2.3, версии 2.1.x до 2.1.9 и устаревшие неподдерживаемые версии позволяют приложениям предоставлять произвольные конфигурационные файлы через модуль spring-cloud-config-server. Злой пользователь или злоумышленник могут отправить запрос, используя специальным образом сконструированный URL, что может привести к атаке обхода директорий.

CVE-2020-5405Spring Cloud Config, версии 2.2.x до 2.2.2, версии 2.1.x до 2.1.7 и более старые неподдерживаемые версии позволяют приложениям обслуживать произвольные файлы конфигурации через модуль spring-cloud-config-server. Злоумышленник или злоумышленник может отправить запрос, используя специально созданный URL, который может привести к атаке обхода каталогов.

CVE-2023-20859В Spring Vault, версий 3.0.x до 3.0.2 и версий 2.3.x до 2.3.3 и более старых версий, приложение уязвимо для вставки конфиденциальной информации в файл журнала, когда оно пытается отозвать пакетный токен Vault.

CVE-2026-41004При включении регистрации следов в Spring Cloud Config Server чувствительная информация была помещена в простой текст в журналах. Spring Cloud Config 3.1x: по 3.1.13 (включительно); повышение до 3.1.14 или выше (только поддержка предприятий). Spring Cloud Config 4.1.x: по 4.1.9 (включительно); повышение до 4.1.10 или выше (только поддержка предприятий). Spring Cloud Config 4.2.x: подается с 4.2.0 до 4.2.6 (включительно); обновление до 4.2.7 или выше (только поддержка предприятий). Spring Cloud Config 4.3.x: влияет с 4.3.0 до 4.3.2 (включительно); обновление до 4.3.3 или выше. Spring Cloud Config 5.0.x: положенный от 5.0.0 до 5.0.2 (включительно); обновление до 5.0.3 или выше.

CVE-2019-3799Spring Cloud Config, версии 2.1.x до 2.1.2, версии 2.0.x до 2.0.4 и версии 1.4.x до 1.4.6, а также более старые неподдерживаемые версии позволяют приложениям обслуживать произвольные файлы конфигурации через модуль spring-cloud-config-server. Злоумышленник может отправить запрос, используя специально созданный URL-адрес, который может привести к атаке обхода каталогов.

Перейти к вендору →Открыть в каталоге с фильтром по продукту →