CVE-2026-47838
Moderat

CVE-2026-47838: Sårbarhed i VMware Spring Security

Fejl i Spring Security kan lade en angriber udgive sig for en anden bruger via et manipuleret certifikat.

CVSS Score
6.8
Offentliggjort
10/06/2026
Patch-status
available
Exploit
theoretical
Tidsfrist
Opdatér inden for 30 dage

Hvad er det?

CVE-2026-47838 er en sårbarhed i VMware Spring Security, et udbredt sikkerhedsframework til Java-baserede webapplikationer og -tjenester. Fejlen ligger i den måde, frameworket læser brugernavne fra X.509-certifikater (digitale identitetsbeviser, der bruges til at bekræfte hvem du er på nettet). Hvis et certifikat er konstrueret på en bestemt, bevidst forkert måde, kan systemet forveksle brugeridentiteter og give adgang til den forkerte konto. En angriber med et gyldigt, men manipuleret certifikat kan på den måde udgive sig for at være en anden bruger i systemet.

Hvem rammer det?

Sårbarheden rammer virksomheder, der:

  • Driver Java-baserede webapplikationer eller API-tjenester bygget med Spring Security
  • Bruger X.509-certifikater til brugergodkendelse (login via digitale certifikater)
  • Kører Spring Security i versionerne 5.7.0–5.7.24, 5.8.0–5.8.26, 6.3.0–6.3.17, 6.4.0–6.4.17 eller 6.5.0–6.5.10

Er du usikker på, om din applikation bruger Spring Security, bør din webudvikler eller IT-leverandør tjekke det hurtigst muligt.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan konsekvenserne være alvorlige:

  • Identitetssvig: Angriberen kan logge ind som en anden bruger — f.eks. en administrator eller en kollega — uden at kende dennes adgangskode.
  • Datalæk: Angriberen får adgang til den efterlignede brugers data, dokumenter og fortrolige oplysninger.
  • Uautoriserede ændringer: Angriberen kan foretage handlinger i systemet i den anden brugers navn, f.eks. ændre indstillinger, godkende transaktioner eller slette data.

Tilgængeligheden af jeres systemer (om de er oppe og kørende) påvirkes ikke direkte af denne sårbarhed.

Hvor alvorligt er det?

Sårbarheden er vurderet til 6,8 ud af 10 (Moderat) af det internationale sikkerhedsorgan CVSS. Vurderingen afspejler, at angrebet kræver en vis teknisk snilde — angriberen skal have et gyldigt certifikat i forvejen og konstruere det præcist rigtigt. Det er altså ikke noget, hvem som helst kan gøre fra sofaen. Til gengæld er konsekvensen potentielt alvorlig, da angriberen kan overtage en anden brugers identitet fuldt ud. Virksomheder, der bruger certifikatbaseret login til følsomme systemer, bør prioritere opdatering højt.

Hvad gør jeg nu?

Kontakt din IT-leverandør eller webudvikler og bed dem gennemgå nedenstående punkter hurtigst muligt:

  1. Identificér om I bruger Spring Security: Bed din udvikler tjekke, om jeres applikationer bruger Spring Security og i hvilken version.
  2. Opdatér til en sikker version: Opgradér til en af de rettede versioner — 5.7.25, 5.8.27, 6.3.18, 6.4.18 eller 6.5.11 — afhængigt af hvilken version I bruger i dag.
  3. Tjek om I bruger certifikatbaseret login: Spørg din leverandør, om jeres system bruger X.509-certifikater til brugergodkendelse. Gør det ikke, er risikoen markant lavere.
  4. Gennemgå adgangslogfiler: Bed din IT-ansvarlig gennemse loginlogfiler for usædvanlig aktivitet, særligt uventede logins fra certifikater.
  5. Hold øje med opdateringer: Følg VMware/Broadcom og Spring-projektets sikkerhedsmeddelelser for eventuelle yderligere informationer.
Tidsfrist

Opdatér inden for 30 dage

Sådan ser Auroa det

Vi anbefaler, at du hurtigst muligt beder din IT-leverandør eller udvikler opdatere Spring Security til den nyeste rettede version. Opdateringen er tilgængelig nu og løser problemet direkte. Bruger I ikke certifikatbaseret login, er risikoen begrænset — men opdatering er stadig god praksis. Har du ikke en fast IT-leverandør, er du velkommen til at kontakte os for hjælp til at vurdere din eksponering.

Tidslinje

10/06/2026
CVE offentliggjort
VMware/Broadcom og NVD offentliggør CVE-2026-47838 og beskriver fejlen i SubjectDnX509PrincipalExtractor i Spring Security.
10/06/2026
Rettede versioner frigivet
Spring-projektet udgiver patchede versioner (5.7.25, 5.8.27, 6.3.18, 6.4.18 og 6.5.11) der løser problemet med forkert håndtering af CN-værdier i X.509-certifikater.
10/06/2026
Ingen aktiv udnyttelse observeret
På offentliggørelsestidspunktet er der ikke registreret aktive angreb, der udnytter sårbarheden. Proof-of-concept-kode er ikke offentligt tilgængelig.
10/07/2026
Anbefalet opdateringsfrist
Auroa anbefaler, at alle berørte virksomheder har opdateret Spring Security senest 30 dage efter offentliggørelsen for at minimere risikoen for udnyttelse.

Konkrete eksempler

Angriber udgiver sig for administrator

En angriber, der har fået udstedt et gyldigt klientcertifikat til eget brug i en virksomhedsapplikation, manipulerer certifikatets CN-felt (det felt der indeholder brugernavnet) på en specielt konstrueret måde. Når applikationen, der kører en sårbar version af Spring Security, læser certifikatet, forveksler den brugernavnet og giver angriberen adgang som en anden bruger — f.eks. en systemadministrator. Angriberen kan nu tilgå følsomme data og funktioner, som han normalt ikke har adgang til.

Adgang til en kollegas kundedata

I en virksomhed, der bruger certifikatbaseret login til et CRM-system (system til styring af kunderelationer), konstruerer en medarbejder med ondsindede hensigter et manipuleret certifikat, der får systemet til at tro, at vedkommende er en salgschef med adgang til alle kundeoplysninger. Medarbejderen kan nu eksportere fortrolige kundedata, som de ikke burde have adgang til, uden at det umiddelbart udløser alarm.

Ekstern angriber via kompromitteret certifikat

En ekstern angriber, der har opsnappet eller på anden vis erhvervet et gyldigt — men tilhørende en lavprivilegeret bruger — klientcertifikat, modificerer det teknisk set og sender det til en sårbar applikation. Systemet læser det forkerte brugernavn fra certifikatet og giver angriberen adgang til en anden brugers konto, potentielt med langt højere rettigheder. Dette kan ske uden nogen form for brugerinteraktion fra offerets side.

Ofte stillede spørgsmål

Ramte produkter

Vmware — Spring Security

< 5.7.25

Vmware — Spring Security

≥ 5.8.0, < 5.8.27

Vmware — Spring Security

≥ 6.3.0, < 6.3.18

Vmware — Spring Security

≥ 6.4.0, < 6.4.18

Vmware — Spring Security

≥ 6.5.0, < 6.5.11

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
HIGH
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
NONE

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N

CWE-svaghedstyper

CWE-287

Original NVD-beskrivelse (engelsk)

SubjectDnX509PrincipalExtractor does not correctly handle certain malformed X.509 certificate CN values, which can lead to reading the wrong value for the username. In a carefully crafted certificate, this can lead to an attacker impersonating another user.

Affected versions:
Spring Security 5.7.0 through 5.7.24; 5.8.0 through 5.8.26; 6.3.0 through 6.3.17; 6.4.0 through 6.4.17; 6.5.0 through 6.5.10.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
6.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-47838
Offentliggjort
10/06/2026
Sidst opdateret
17/06/2026
Exploit-status
theoretical
Patch-status
available
Tidsfrist
Opdatér inden for 30 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.