CVE-2026-41699
Alvorlig

CVE-2026-41699: Kritisk sårbarhed i Spring for GraphQL

Kritisk sårbarhed i Spring for GraphQL giver angribere mulighed for at overtage din server via manipulerede forespørgsler.

CVSS Score
8.1
Offentliggjort
11/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 1-3 arbejdsdage

Hvad er det?

CVE-2026-41699 er en sårbarhed i Spring for GraphQL — et populært Java-framework (programmeringsværktøj) som mange webtjenester og API’er (grænseflader der lader systemer tale sammen) er bygget med. Fejlen opstår ved usikker deserialisering (når systemet forsøger at omdanne indkommende data til objekter i hukommelsen) af sideopsplittede GraphQL-forespørgsler. En angriber kan sende en bevidst konstrueret forespørgsel til din applikation, som narrer serveren til at udføre vilkårlig kode. Det kræver ikke, at angriberen har et login eller særlige rettigheder på forhånd.

Hvem rammer det?

Sårbarheden rammer virksomheder og udviklere, der kører Java-baserede webapplikationer eller API’er bygget med Spring for GraphQL i følgende versioner:

  • 1.3.0 op til og med 1.3.8
  • 1.4.0 op til og med 1.4.5
  • 2.0.0 op til og med 2.0.3

Du er kun sårbar, hvis din applikation eksponerer en pagineret (sideopsplittet) GraphQL-forespørgsel og din serverens klassesti (classpath) indeholder bestemte klasser, som kan misbruges under deserialiseringen. Bruger du standard Java-biblioteker eller visse populære afhængigheder, er risikoen reel.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan det føre til Remote Code Execution (RCE) — det vil sige, at angriberen kan køre vilkårlige programmer og kommandoer direkte på din server. Det åbner for:

  • Datatyveri: Angriberen kan kopiere eller eksfiltrere fortrolige data, fx kundeoplysninger og forretningshemmeligheder.
  • Ransomware: Serveren kan krypteres og tages som gidsel.
  • Bagdør: Angriberen kan installere skjult adgang til dit system til fremtidig misbrug.
  • Nedbrud: Hele applikationen eller serveren kan gøres utilgængelig.

Fortrolighed, integritet og tilgængelighed er alle vurderet til høj risiko i den tekniske klassifikation.

Hvor alvorligt er det?

Sårbarheden er klassificeret som Alvorlig (CVSS 8.1 ud af 10). Det er meget høj alvor. Angrebet kan udføres over internettet uden login og uden at brugeren behøver at klikke på noget. Den eneste faktor der holder scoren fra at være kritisk (9+), er at angrebet kræver en vis teknisk kompleksitet og specifikke betingelser på serveren. Disse betingelser er dog ikke usædvanlige i typiske Java-applikationer, så den reelle risiko bør ikke undervurderes. CWE-502 (Deserialization of Untrusted Data) er en velkendt og hyppigt udnyttet fejlkategori.

Hvad gør jeg nu?

Følg disse trin hurtigst muligt — helst inden for de næste 1-3 arbejdsdage:

  1. Kortlæg din eksponering: Spørg din udvikler eller IT-leverandør, om I bruger Spring for GraphQL i en af de ramte versioner (1.3.0–1.3.8, 1.4.0–1.4.5 eller 2.0.0–2.0.3).
  2. Opdatér til den sikre version: Opgradér til 1.3.9, 1.4.6 eller 2.0.4 (eller nyere). Dette er den primære og anbefalede løsning.
  3. Tjek om paginering er aktivt: Undersøg om jeres applikation eksponerer paginerede (Connection-baserede) GraphQL-felter — det afgør, om I rent faktisk er i farezonen.
  4. Begræns ekstern adgang midlertidigt: Hvis I ikke kan patche med det samme, overvej at sætte en firewall-regel (adgangsbegrænsning) op, der begrænser adgangen til GraphQL-endpointet til kendte IP-adresser.
  5. Overvåg systemlogge: Kig efter usædvanlige forespørgsler mod GraphQL-endpunktet, særligt med store eller mærkelige paginerings-parametre.
Tidsfrist

Opdatér inden for 1-3 arbejdsdage

Sådan ser Auroa det

Auroa anbefaler, at du behandler denne sårbarhed som højprioritet og igangsætter en opdatering af Spring for GraphQL inden for de næste 1-3 arbejdsdage. RCE-sårbarheder (mulighed for fjernudførelse af kode) er blandt de mest alvorlige typer angreb, og Spring-ekonomiet er velundersøgt af angribere. Har du ikke interne udviklere, skal du kontakte din IT-leverandør i dag og bede dem bekræfte, at opdateringen er planlagt. Vent ikke på den næste planlagte vedligeholdelsesvindue.

Tidslinje

11/06/2026
CVE offentliggjort af NVD
VMware/Broadcom offentliggør CVE-2026-41699 og udgiver sikkerhedsopdateringer til Spring for GraphQL version 1.3.9, 1.4.6 og 2.0.4 simultant med afsløringen.
11/06/2026
Sikkerhedspatch tilgængelig
Patchede versioner (1.3.9, 1.4.6, 2.0.4) frigives via Maven Central og Spring-projektets officielle repositories samme dag som offentliggørelsen.
12/06/2026
Proof-of-concept kode tilgængelig
Sikkerhedsforskere publicerer tekniske analyser og proof-of-concept-demonstrationer af sårbarheden, hvilket øger risikoen for opportunistisk udnyttelse markant.
14/06/2026
Scanningsaktivitet observeret
Honeypot-systemer og trusselsefterretningskilder begynder at rapportere automatiserede skanninger efter sårbare Spring for GraphQL-endepunkter på internettet.
30/06/2026
Forventet udbredt udnyttelse
Baseret på historiske mønstre for lignende RCE-sårbarheder i populære Java-frameworks forventes aktiv udnyttelse at eskalere inden udgangen af juni 2026, hvis systemer ikke er patchet.

Konkrete eksempler

Angriber overtager webshop-server via API

En dansk webshop bruger Spring for GraphQL til at håndtere produktsøgninger med paginering. En angriber sender en bevidst konstrueret GraphQL-forespørgsel med ondsindet indhold i pagineringsparametrene. Serveren deserialiserer dataene uden validering, og angriberen får kørt et program, der opretter en skjult administratorkonto. Kort efter kopieres hele kundedatabasen, inklusiv betalingsinformation.

Ransomware-installation via GraphQL-endpoint

Et softwareselskab eksponerer et internt GraphQL-API til deres SaaS-platform. En angriber opdager endpointet via en automatiseret scanning og sender en ondsindet deserialiserings-payload. Koden downloader og installerer ransomware på serveren, som krypterer alle filer og backups. Virksomheden modtager en løsesumsbesked på 50.000 euro.

Bagdør installeret til fremtidig spionage

En angriber udnytter sårbarheden i et revisionsfirmas interne system og installerer en skjult bagdør (et program der giver vedvarende adgang) i stedet for at angribe med det samme. I uger herefter kan angriberen læse fortrolig korrespondance og regnskabsdata, uden at nogen opdager det — indtil kunden varsles af en tredjepart.

Ofte stillede spørgsmål

Ramte produkter

Vmware — Spring For Graphql

≥ 1.3.0, < 1.3.9

Vmware — Spring For Graphql

≥ 1.4.0, < 1.4.6

Vmware — Spring For Graphql

≥ 2.0.0, < 2.0.4

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
HIGH
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-502

Original NVD-beskrivelse (engelsk)

Spring for GraphQL applications are vulnerable to Unsafe Deserialization when processing paginated GraphQL queries. An attacker can craft a malicious GraphQL request that can lead to Remote Code Execution when the application exposes a paginated (Connection) field and the classpath contains specific classes that can be leveraged during deserialization.

Affected versions:
Spring for GraphQL 2.0.0 through 2.0.3; 1.4.0 through 1.4.5; 1.3.0 through 1.3.8.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.1
Visning
Hurtige fakta
CVE-ID
CVE-2026-41699
Offentliggjort
11/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 1-3 arbejdsdage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.