CVE-2026-41851: Spring Framework DoS-sårbarhed
Sårbarhed i Spring Framework kan crashe din webapplikation via ondsindet inputdata — opdater straks til nyeste version.
Hvad er det?
CVE-2026-41851 er en sårbarhed i VMware Spring Framework — et meget udbredt programmeringsværktøj, som mange webapplikationer og backend-systemer er bygget med. Sårbarheden ligger i den måde, frameworket håndterer såkaldte SpEL-udtryk (Spring Expression Language — et lille programmeringssprog, der bruges til at beregne værdier i applikationen) fra brugere. Hvis en applikation accepterer sådanne udtryk direkte fra brugere, kan en angriber sende udtryk, der får applikationens interne hukommelsescache (midlertidigt lager) til at vokse ukontrolleret, indtil systemet løber tør for ressourcer og går ned.
Hvem rammer det?
Sårbarheden rammer virksomheder og udviklere, der har bygget egne webapplikationer, API’er eller backend-systemer oven på Spring Framework i version 5.3.0–5.3.48, 6.1.0–6.1.27, 6.2.0–6.2.18 eller 7.0.0–7.0.7. Det er især relevant, hvis din applikation tillader brugere at sende inputdata, der behandles som SpEL-udtryk. Mange Java-baserede virksomhedsapplikationer bruger Spring Framework — spørg din udviklingspartner eller IT-leverandør, om det gælder for jer. Bruger du udelukkende standardsoftware som Office 365 eller regnskabsprogrammer, er du sandsynligvis ikke berørt.
Hvad kan ske?
En angriber uden nogen form for login eller forudgående adgang kan sende særligt udformede forespørgsler til din applikation. Det kan medføre:
- Applikationsnedbrud (Denial of Service) — din webapplikation eller API holder op med at svare, fordi serverens hukommelse løber tør.
- Driftsforstyrrelse — kunder eller medarbejdere kan ikke tilgå tjenesten, hvilket kan påvirke salg, produktion eller support.
- Gentagne angreb — angriberen kan automatisere angrebet og dermed holde din applikation nede over længere tid.
Sårbarheden giver ikke angriberen adgang til dine data eller mulighed for at ændre i systemet — den handler udelukkende om tilgængelighed.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 5.3 — Moderat. Det betyder, at den ikke er kritisk, men stadig kræver opmærksomhed. Angrebet kan udføres over internettet uden login og kræver ingen hjælp fra brugere, hvilket gør det teknisk let at igangsætte. Til gengæld er skaden begrænset til driftsnedbrud — dine data kompromitteres ikke. Alvorligheden stiger, hvis din applikation er forretningskritisk, og nedetid har stor økonomisk konsekvens.
Hvad gør jeg nu?
Kontakt din IT-leverandør eller udvikler og bed dem gennemgå følgende:
- Kortlæg dine applikationer: Find ud af, om I har Java-applikationer bygget med Spring Framework, og hvilken version der anvendes.
- Opdatér Spring Framework: Opgradér til en af de rettede versioner — 5.3.49, 6.1.28, 6.2.19 eller 7.0.8 — afhængigt af hvilken version I bruger.
- Test efter opdatering: Bed din udvikler verificere, at applikationen fungerer korrekt efter opdateringen, da versionsskift kan have afledte effekter.
- Vurdér brugerinput: Hvis I ikke kan opdatere med det samme, bør din udvikler undersøge, om applikationen accepterer SpEL-udtryk fra brugere, og i givet fald midlertidigt blokere eller validere dette input.
- Overvåg driften: Hold øje med usædvanlig hukommelsesforbrugsvækst eller uventede nedbrud, mens opdateringen planlægges.
Opdatér inden for 30 dage
Selvom sårbarheden ikke giver angribere adgang til dine data, kan den lamme din applikation fuldstændigt — og det kan mærkes direkte på bundlinjen, hvis kunder eller medarbejdere ikke kan bruge systemet. VMware har udgivet rettede versioner, så opgaven er ligetil: bed din IT-leverandør eller udvikler om at opdatere Spring Framework ved næste planlagte vedligeholdsvindue eller inden for de næste 30 dage. Har du en forretningskritisk applikation, der er eksponeret mod internettet, bør det ske hurtigere.
Tidslinje
Konkrete eksempler
Automatiseret bombardement af søgefelt
Forestil dig en webshop, hvor søgefeltet i baggrunden behandler brugerinput via SpEL. En angriber sender et script, der i høj hastighed poster komplekse udtryk til søgefeltet. For hvert udtryk vokser applikationens interne cache, indtil serveren løber tør for hukommelse og webshoppen går ned — mens alle kundernes kurve og igangværende køb afbrydes.
API-angreb mod et kundevendt system
En virksomhed tilbyder et API, hvor samarbejdspartnere kan forespørge på ordrestatus ved at sende parametre, som behandles internt med SpEL. En ondsindet aktør opdager dette og sender gentagne forespørgsler med ekstremt komplekse udtryk. Inden for minutter er API-serveren overbelastet og utilgængelig, og samarbejdspartnernes integrationer fejler.
Konkurrent- eller afpresningsangreb
En angriber — måske en konkurrent eller en person med et udestående — identificerer via offentligt tilgængelige teknologiregistre (fx Wappalyzer), at din virksomheds hjemmeside kører en Spring-baseret applikation i en sårbar version. Vedkommende igangsætter et automatiseret DoS-angreb og kræver efterfølgende betaling for at stoppe. Nedetiden koster dig kunder og omdømme, selv om dine data forbliver intakte.
Ofte stillede spørgsmål
Hvordan ved jeg, om min applikation bruger Spring Framework?
Spring Framework bruges primært i Java-baserede applikationer. Spørg din IT-leverandør eller den virksomhed, der har udviklet din applikation, om de anvender Spring Framework — og i så fald hvilken version. De kan tjekke det i projektets afhængighedsliste (typisk en fil kaldet pom.xml eller build.gradle).
Kan mine data blive stjålet via denne sårbarhed?
Nej. Denne sårbarhed påvirker udelukkende tilgængeligheden af din applikation. En angriber kan få systemet til at gå ned, men kan ikke læse, kopiere eller ændre dine data via denne fejl alene.
Er der en hurtig løsning, hvis vi ikke kan opdatere med det samme?
Ja, som midlertidig foranstaltning kan din udvikler undersøge, om applikationen accepterer SpEL-udtryk direkte fra brugere, og i givet fald indføre strengere validering eller filtrering af dette input. Det løser ikke selve fejlen, men reducerer risikoen, mens opdateringen forberedes.
Vil en opdatering af Spring Framework bryde vores applikation?
Det afhænger af, hvor stor versionsspring der er tale om. Opdateringer inden for samme hovedversion (fx fra 6.2.18 til 6.2.19) er typisk sikre og bryder sjældent noget. Din udvikler bør alligevel køre applikationens tests efter opdateringen for at bekræfte, at alt fungerer som forventet.
Gælder det alle, der bruger Java?
Nej — kun Java-applikationer, der specifikt bruger Spring Framework i en af de berørte versioner, og som derudover accepterer brugerinput behandlet som SpEL-udtryk. Java-programmer uden Spring Framework er ikke berørt af netop denne sårbarhed.
Ramte produkter
Vmware — Spring Framework
≥ 5.3.0, < 5.3.49
Vmware — Spring Framework
≥ 6.1.0, < 6.1.28
Vmware — Spring Framework
≥ 6.2.0, < 6.2.19
Vmware — Spring Framework
≥ 7.0.0, < 7.0.8
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Applications which accept user-supplied Spring Expression Language (SpEL) expressions may be vulnerable to a Denial of Service (DoS) attack if the evaluation of a SpEL expression triggers unbounded cache growth.
Affected versions:
Spring Framework 7.0.0 through 7.0.7; 6.2.0 through 6.2.18; 6.1.0 through 6.1.27; 5.3.0 through 5.3.48.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
