Spring Multiple Vulnerabilities: Privilege Escalation, SSRF, XSS
Summary
CERT-FR published advisory CERTFR-2026-AVI-0477 on April 22, 2026, alerting to multiple vulnerabilities in Spring products including Authorization Server (versions 1.3.x before 1.3.11, 1.4.x before 1.4.10, 1.5.x before 1.5.7) and Security (versions 5.7.x through 7.0.x prior to stated patches). Seven CVEs are referenced: CVE-2026-22746, CVE-2026-22747, CVE-2026-22748, CVE-2026-22751, CVE-2026-22752, CVE-2026-22753, and CVE-2026-22754. The vulnerabilities enable security policy bypass, SSRF, remote indirect code injection (XSS), unspecified vendor issues, and privilege escalation. Affected organizations should consult Spring's security bulletins for available patches.
“De multiples vulnérabilités ont été découvertes dans les produits Spring.”
Organizations running Spring Authorization Server or Spring Security should inventory all deployed instances and compare version numbers against the affected ranges (1.3.x < 1.3.11, 1.4.x < 1.4.10, 1.5.x < 1.5.7, 5.7.x < 5.7.23, 5.8.x < 5.8.25, 6.3.x < 6.3.16, 6.4.x < 6.4.16, 6.5.x < 6.5.10, 7.0.x < 7.0.5). Given the privilege escalation and XSS attack vectors, patch deployment should be treated as time-sensitive regardless of whether the affected component is internet-facing.
About this source
GovPing monitors CERT-FR Security Advisories for new data privacy & cybersecurity regulatory changes. Every update since tracking began is archived, classified, and available as free RSS or email alerts — 183 changes logged to date.
What changed
CERT-FR published an alert detailing seven security vulnerabilities affecting Spring Authorization Server and Spring Security across multiple version branches. The vulnerabilities enable an attacker to achieve security policy bypass, server-side request forgery (SSRF), remote indirect code injection (XSS), unspecified impacts, and privilege escalation. Organizations running affected Spring versions (Authorization Server 1.3.x–1.5.x and Security 5.7.x–7.0.x) should immediately consult Spring.io security bulletins and apply the available patches to mitigate the risk of exploitation.
Affected parties include any organization using Spring Authorization Server or Spring Security products in the versions specified. System administrators and security teams should prioritize inventorying deployed Spring installations, identifying affected versions, and applying vendor-issued patches without delay given the severity of privilege escalation and remote code injection risks.
What to do next
- Consult Spring security bulletins for patch information
Archived snapshot
Apr 22, 2026GovPing captured this document from the original source. If the source has since changed or been removed, this is the text as it existed at that time.
Premier Ministre S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 22 avril 2026 N° CERTFR-2026-AVI-0477 Affaire suivie par: CERT-FR
Avis du CERT-FR
Objet: Multiples vulnérabilités dans les produits Spring
Gestion du document
| Référence | CERTFR-2026-AVI-0477 |
| Titre | Multiples vulnérabilités dans les produits Spring |
| Date de la première version | 22 avril 2026 |
| Date de la dernière version | 22 avril 2026 |
| Source(s) | Bulletin de sécurité Spring cve-2026-22746 du 20 avril 2026
Bulletin de sécurité Spring cve-2026-22747 du 20 avril 2026
Bulletin de sécurité Spring cve-2026-22748 du 20 avril 2026
Bulletin de sécurité Spring cve-2026-22753 du 20 avril 2026
Bulletin de sécurité Spring cve-2026-22754 du 20 avril 2026
Bulletin de sécurité Spring cve-2026-22751 du 21 avril 2026
Bulletin de sécurité Spring cve-2026-22752 du 21 avril 2026 |
Une gestion de version détaillée se trouve à la fin de ce document.
Risques
- Contournement de la politique de sécurité
- Falsification de requêtes côté serveur (SSRF)
- Injection de code indirecte à distance (XSS)
- Non spécifié par l'éditeur
- Élévation de privilèges
Systèmes affectés
- Authorization Server versions 1.3.x antérieures à 1.3.11
- Authorization Server versions 1.4.x antérieures à 1.4.10
- Authorization Server versions 1.5.x antérieures à 1.5.7
- Security versions 5.7.x antérieures à 5.7.23
- Security versions 5.8.x antérieures à 5.8.25
- Security versions 6.3.x antérieures à 6.3.16
- Security versions 6.4.x antérieures à 6.4.16
- Security versions 6.5.x antérieures à 6.5.10
- Security versions 7.0.x antérieures à 7.0.5
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Spring. Certaines d'entre elles permettent à un attaquant de provoquer une élévation de privilèges, une falsification de requêtes côté serveur (SSRF) et une injection de code indirecte à distance (XSS).
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Spring cve-2026-22746 du 20 avril 2026
- https://spring.io/security/cve-2026-22746
- Bulletin de sécurité Spring cve-2026-22747 du 20 avril 2026
- https://spring.io/security/cve-2026-22747
- Bulletin de sécurité Spring cve-2026-22748 du 20 avril 2026
- https://spring.io/security/cve-2026-22748
- Bulletin de sécurité Spring cve-2026-22753 du 20 avril 2026
- https://spring.io/security/cve-2026-22753
- Bulletin de sécurité Spring cve-2026-22754 du 20 avril 2026
- https://spring.io/security/cve-2026-22754
- Bulletin de sécurité Spring cve-2026-22751 du 21 avril 2026
- https://spring.io/security/cve-2026-22751
- Bulletin de sécurité Spring cve-2026-22752 du 21 avril 2026
- https://spring.io/security/cve-2026-22752
- Référence CVE CVE-2026-22746
- https://www.cve.org/CVERecord?id=CVE-2026-22746
- Référence CVE CVE-2026-22747
- https://www.cve.org/CVERecord?id=CVE-2026-22747
- Référence CVE CVE-2026-22748
- https://www.cve.org/CVERecord?id=CVE-2026-22748
- Référence CVE CVE-2026-22751
- https://www.cve.org/CVERecord?id=CVE-2026-22751
- Référence CVE CVE-2026-22752
- https://www.cve.org/CVERecord?id=CVE-2026-22752
- Référence CVE CVE-2026-22753
- https://www.cve.org/CVERecord?id=CVE-2026-22753
- Référence CVE CVE-2026-22754
- https://www.cve.org/CVERecord?id=CVE-2026-22754
Gestion détaillée du document
- le 22 avril 2026 Version initiale
Related changes
Get daily alerts for CERT-FR Security Advisories
Daily digest delivered to your inbox.
Free. Unsubscribe anytime.
About this page
Every important government, regulator, and court update from around the world. One place. Real-time. Free. Our mission
Source document text, dates, docket IDs, and authority are extracted directly from CERT-FR.
The summary, classification, recommended actions, deadlines, and penalty information are AI-generated from the original text and may contain errors. Always verify against the source document.
Classification
Who this affects
Taxonomy
Browse Categories
Get alerts for this source
We'll email you when CERT-FR Security Advisories publishes new changes.
Subscribed!
Optional. Filters your digest to exactly the updates that matter to you.