Changeflow GovPing Data Privacy & Cybersecurity 5 Spring Vulnerabilità Risolte, 2 Alta Gravità
Priority review Notice Added Final

5 Spring Vulnerabilità Risolte, 2 Alta Gravità

Favicon for www.acn.gov.it Italy ACN News alt
Published
Detected
Email

Summary

L'Agenzia per la Cybersicurezza Nazionale (ACN) e CSIRT-ITA hanno emesso l'Alert AL01/260428/CSIRT-ITA il 28 aprile 2026, segnalando che aggiornamenti di sicurezza risolvono 5 vulnerabilità nel framework Java Spring, di cui 2 con gravità 'alta'. Le versioni affette includono Spring AI 1.0.0–1.0.5 e 1.1.0–1.1.4. Le CVE interessate sono CVE-2026-40967 e CVE-2026-40978, con un impatto sistemico valutato Alto (65.12). L'ACN raccomanda di aggiornare i prodotti vulnerabili consultando i bollettini di sicurezza Spring.io.

“In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.”

ACN , verbatim from source
Why this matters

Le organizzazioni che eseguono Spring AI in ambiente enterprise dovrebbero verificare immediatamente le versioni in uso e applicare le patch di sicurezza, in particolare per le istanze esposte su reti pubbliche o che elaborano dati sensibili, dato l'impatto sistemico classificato come 'Alto' (65.12) e la disponibilità pubblica delle CVE.

AI-drafted from the source document, validated against GovPing's analyst note standards . For the primary regulatory language, read the source document .
Published by ACN on acn.gov.it . Detected, standardized, and enriched by GovPing. Review our methodology and editorial standards .

About this source

GovPing monitors Italy ACN News alt for new data privacy & cybersecurity regulatory changes. Every update since tracking began is archived, classified, and available as free RSS or email alerts — 13 changes logged to date.

View original document View source feed page
Notice an inaccuracy or want this record removed? Email corrections@changeflow.com . We respond within 48 hours and honor reasonable requests. See our editorial standards .

What changed

L'ACN e CSIRT-ITA hanno pubblicato un avviso di sicurezza che risolve complessivamente 5 vulnerabilità nel noto framework open-source Spring, utilizzato per lo sviluppo di applicazioni Java in ambito enterprise. Due vulnerabilità sono classificate ad alta gravità (CVE-2026-40967 e CVE-2026-40978), con tipologie che includono Security Feature Bypass, Information Disclosure e Data Manipulation.

Le organizzazioni che utilizzano Spring AI versioni dalla 1.0.0 alla 1.0.5 e dalla 1.1.0 alla 1.1.4 devono applicare tempestivamente gli aggiornamenti di sicurezza disponibili tramite i bollettini ufficiali Spring.io per mitigare il rischio di sfruttamento, considerando l'impatto sistemico elevato (65.12) segnalato dall'agenzia.

What to do next

  1. Aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti

Archived snapshot

Apr 28, 2026

GovPing captured this document from the original source. If the source has since changed or been removed, this is the text as it existed at that time.

Risolte vulnerabilità in Spring

**
Alert**

AL01/260428/CSIRT-ITA

Condividi
- Facebook
- Twitter
- LinkedIn
- Whatsapp

Sintesi

Aggiornamenti di sicurezza risolvono 5 vulnerabilità, tra cui due con gravità “alta”, in Spring, noto framework open‑source per lo sviluppo di applicazioni Java, usato in ambito enterprise.

Tipologia

  • Security Feature Bypass
  • Information Disclosure
  • Data Manipulation

Prodotti e/o versioni affette

Spring AI

  • 1.0.x: versioni dalla 1.0.0 alla 1.0.5
  • 1.1.x: versioni dalla 1.1.0 alla 1.1.4

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”:

CVE (2)

Cerca:
| CVE | POC | EXPLOITATION |
| --- | --- | --- |
| CVE-2026-40967 | - | - |
| CVE-2026-40978 | - | - |

Riferimenti (3)

  1. https://spring.io/security/cve-2026-40967
  2. https://spring.io/security/cve-2026-40978
  3. https://spring.io/security

Change log

Versione Note Data
1.0 Pubblicato il 28-04-2026 28/04/2026

Impatto sistemico

Alto (65.12)

Argomenti

Data pubblicazione

28/04/26 ore 10:57

Data Ultimo Aggiornamento

28/04/26 ore 10:57

Named provisions

Sintesi Tipologia Prodotti e/o versioni affette Azioni di mitigazione CVE (2) Riferimenti (3) Change log Impatto sistemico

Related changes

Favicon for www.acn.gov.it Rclone Vulnerabilities CVE-2026-41176 and CVE-2026-41179: PoC Exploits Released
Urgent Apr 27, 2026 Italy ACN News alt Data Privacy & Cybersecurity
Favicon for www.acn.gov.it Italy ACN Publishes Critical Notepad++ CVE-2026-3008 Alert With Public PoC
Priority review Apr 27, 2026 Italy ACN News alt Data Privacy & Cybersecurity
Favicon for www.acn.gov.it Grafana Tempo High-Severity Vulnerability Fixed CVE-2026-21728
Priority review Apr 25, 2026 Italy ACN News alt Data Privacy & Cybersecurity

Get daily alerts for Italy ACN News alt

Daily digest delivered to your inbox.

Free. Unsubscribe anytime.

Source

Favicon for www.acn.gov.it
Italy ACN News alt acn.gov.it/portale/feedrss/-/journal/rss/20119/723192
Data Privacy & Cybersecurity

About this page

What is GovPing?

Every important government, regulator, and court update from around the world. One place. Real-time. Free. Our mission

What's from the agency?

Source document text, dates, docket IDs, and authority are extracted directly from ACN.

What's AI-generated?

The summary, classification, recommended actions, deadlines, and penalty information are AI-generated from the original text and may contain errors. Always verify against the source document.

Last updated

Press inquiries →

Classification

Agency
ACN
Published
April 28th, 2026
Instrument
Notice
Branch
Executive
Joint with
CSIRT-ITA
Source language
it
Legal weight
Non-binding
Stage
Final
Change scope
Substantive
Document ID
AL01/260428/CSIRT-ITA

Who this affects

Applies to
Technology companies Manufacturers Government agencies
Industry sector
5112 Software & Technology
Activity scope
Vulnerability remediation Software patching Enterprise Java development
Geographic scope
Italy IT

Taxonomy

Primary area
Cybersecurity
Operational domain
IT Security
Compliance frameworks
NIST CSF
Topics
Software & Technology Data Privacy Consumer Protection

Browse Categories

Agriculture & Food Safety 82 Banking & Finance 492 Consumer Protection 124 Courts & Legal 384 Data Privacy & Cybersecurity 144 Defense & National Security 52 Education 62 Energy 135 Environment 167 Government & Legislation 515 Healthcare & Life Sciences 318 Immigration 11 Insurance 88 Labor & Employment 194 Real Estate & Housing 67 Securities & Markets 163 Tax 116 Telecom & Technology 60 Trade & Sanctions 164 Transportation 131

Get alerts for this source

We'll email you when Italy ACN News alt publishes new changes.

Free. Unsubscribe anytime.

You're subscribed!