CVE-2026-41851
Moderat

CVE-2026-41851: Spring Framework DoS-sårbarhed

Sårbarhed i Spring Framework kan crashe din webapplikation via ondsindet inputdata — opdater straks til nyeste version.

CVSS Score
5.3
Offentliggjort
09/06/2026
Patch-status
available
Exploit
theoretical
Tidsfrist
Opdatér inden for 30 dage

Hvad er det?

CVE-2026-41851 er en sårbarhed i VMware Spring Framework — et meget udbredt programmeringsværktøj, som mange webapplikationer og backend-systemer er bygget med. Sårbarheden ligger i den måde, frameworket håndterer såkaldte SpEL-udtryk (Spring Expression Language — et lille programmeringssprog, der bruges til at beregne værdier i applikationen) fra brugere. Hvis en applikation accepterer sådanne udtryk direkte fra brugere, kan en angriber sende udtryk, der får applikationens interne hukommelsescache (midlertidigt lager) til at vokse ukontrolleret, indtil systemet løber tør for ressourcer og går ned.

Hvem rammer det?

Sårbarheden rammer virksomheder og udviklere, der har bygget egne webapplikationer, API’er eller backend-systemer oven på Spring Framework i version 5.3.0–5.3.48, 6.1.0–6.1.27, 6.2.0–6.2.18 eller 7.0.0–7.0.7. Det er især relevant, hvis din applikation tillader brugere at sende inputdata, der behandles som SpEL-udtryk. Mange Java-baserede virksomhedsapplikationer bruger Spring Framework — spørg din udviklingspartner eller IT-leverandør, om det gælder for jer. Bruger du udelukkende standardsoftware som Office 365 eller regnskabsprogrammer, er du sandsynligvis ikke berørt.

Hvad kan ske?

En angriber uden nogen form for login eller forudgående adgang kan sende særligt udformede forespørgsler til din applikation. Det kan medføre:

  • Applikationsnedbrud (Denial of Service) — din webapplikation eller API holder op med at svare, fordi serverens hukommelse løber tør.
  • Driftsforstyrrelse — kunder eller medarbejdere kan ikke tilgå tjenesten, hvilket kan påvirke salg, produktion eller support.
  • Gentagne angreb — angriberen kan automatisere angrebet og dermed holde din applikation nede over længere tid.

Sårbarheden giver ikke angriberen adgang til dine data eller mulighed for at ændre i systemet — den handler udelukkende om tilgængelighed.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 5.3 — Moderat. Det betyder, at den ikke er kritisk, men stadig kræver opmærksomhed. Angrebet kan udføres over internettet uden login og kræver ingen hjælp fra brugere, hvilket gør det teknisk let at igangsætte. Til gengæld er skaden begrænset til driftsnedbrud — dine data kompromitteres ikke. Alvorligheden stiger, hvis din applikation er forretningskritisk, og nedetid har stor økonomisk konsekvens.

Hvad gør jeg nu?

Kontakt din IT-leverandør eller udvikler og bed dem gennemgå følgende:

  1. Kortlæg dine applikationer: Find ud af, om I har Java-applikationer bygget med Spring Framework, og hvilken version der anvendes.
  2. Opdatér Spring Framework: Opgradér til en af de rettede versioner — 5.3.49, 6.1.28, 6.2.19 eller 7.0.8 — afhængigt af hvilken version I bruger.
  3. Test efter opdatering: Bed din udvikler verificere, at applikationen fungerer korrekt efter opdateringen, da versionsskift kan have afledte effekter.
  4. Vurdér brugerinput: Hvis I ikke kan opdatere med det samme, bør din udvikler undersøge, om applikationen accepterer SpEL-udtryk fra brugere, og i givet fald midlertidigt blokere eller validere dette input.
  5. Overvåg driften: Hold øje med usædvanlig hukommelsesforbrugsvækst eller uventede nedbrud, mens opdateringen planlægges.
Tidsfrist

Opdatér inden for 30 dage

Sådan ser Auroa det

Selvom sårbarheden ikke giver angribere adgang til dine data, kan den lamme din applikation fuldstændigt — og det kan mærkes direkte på bundlinjen, hvis kunder eller medarbejdere ikke kan bruge systemet. VMware har udgivet rettede versioner, så opgaven er ligetil: bed din IT-leverandør eller udvikler om at opdatere Spring Framework ved næste planlagte vedligeholdsvindue eller inden for de næste 30 dage. Har du en forretningskritisk applikation, der er eksponeret mod internettet, bør det ske hurtigere.

Tidslinje

09/06/2026
CVE offentliggjort
CVE-2026-41851 blev offentliggjort i National Vulnerability Database (NVD) med en CVSS-score på 5.3 (Moderat). VMware bekræftede sårbarheden og udgav rettede versioner samtidigt.
09/06/2026
Rettede versioner frigivet
VMware udgav patches i form af Spring Framework version 5.3.49, 6.1.28, 6.2.19 og 7.0.8, der alle adresserer den ukontrollerede cache-vækst i SpEL-evalueringen.
09/06/2026
Ingen kendte aktive angreb
På offentliggørelsestidspunktet er der ikke registreret aktiv udnyttelse af sårbarheden i naturen. Risikoen er teoretisk, men angrebsmetoden er teknisk enkel at iværksætte.

Konkrete eksempler

Automatiseret bombardement af søgefelt

Forestil dig en webshop, hvor søgefeltet i baggrunden behandler brugerinput via SpEL. En angriber sender et script, der i høj hastighed poster komplekse udtryk til søgefeltet. For hvert udtryk vokser applikationens interne cache, indtil serveren løber tør for hukommelse og webshoppen går ned — mens alle kundernes kurve og igangværende køb afbrydes.

API-angreb mod et kundevendt system

En virksomhed tilbyder et API, hvor samarbejdspartnere kan forespørge på ordrestatus ved at sende parametre, som behandles internt med SpEL. En ondsindet aktør opdager dette og sender gentagne forespørgsler med ekstremt komplekse udtryk. Inden for minutter er API-serveren overbelastet og utilgængelig, og samarbejdspartnernes integrationer fejler.

Konkurrent- eller afpresningsangreb

En angriber — måske en konkurrent eller en person med et udestående — identificerer via offentligt tilgængelige teknologiregistre (fx Wappalyzer), at din virksomheds hjemmeside kører en Spring-baseret applikation i en sårbar version. Vedkommende igangsætter et automatiseret DoS-angreb og kræver efterfølgende betaling for at stoppe. Nedetiden koster dig kunder og omdømme, selv om dine data forbliver intakte.

Ofte stillede spørgsmål

Ramte produkter

Vmware — Spring Framework

≥ 5.3.0, < 5.3.49

Vmware — Spring Framework

≥ 6.1.0, < 6.1.28

Vmware — Spring Framework

≥ 6.2.0, < 6.2.19

Vmware — Spring Framework

≥ 7.0.0, < 7.0.8

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
NONE
Integrity
NONE
Availability
LOW

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

CWE-svaghedstyper

CWE-770

Original NVD-beskrivelse (engelsk)

Applications which accept user-supplied Spring Expression Language (SpEL) expressions may be vulnerable to a Denial of Service (DoS) attack if the evaluation of a SpEL expression triggers unbounded cache growth.

Affected versions:
Spring Framework 7.0.0 through 7.0.7; 6.2.0 through 6.2.18; 6.1.0 through 6.1.27; 5.3.0 through 5.3.48.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
5.3
Visning
Hurtige fakta
CVE-ID
CVE-2026-41851
Offentliggjort
09/06/2026
Sidst opdateret
17/06/2026
Exploit-status
theoretical
Patch-status
available
Tidsfrist
Opdatér inden for 30 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.