CVE-2026-41848: ReDoS i VMware Spring Framework
En angriber kan sende et særligt mønster til din Spring-applikation og gøre den utilgængelig – uden at have adgang til systemet.
Hvad er det?
CVE-2026-41848 er en sårbarhed i VMware Spring Framework, som er et meget udbredt fundament til at bygge Java-webapplikationer. Fejlen kaldes ReDoS – Regular Expression Denial of Service. Det betyder, at en angriber kan sende et ondsindet søgemønster (et såkaldt regulært udtryk) til din applikation, som får den til at bruge ekstremt lang tid på at behandle det. Resultatet er, at applikationen bliver langsom eller helt holder op med at svare. Fejlen ligger i en komponent kaldet AntPathMatcher, som bruges til at matche URL-stier i webapplikationer.
Hvem rammer det?
Sårbarheden rammer dig, hvis din virksomhed har webapplikationer eller API’er (programgrænseflader) bygget med VMware Spring Framework i følgende versioner:
- Spring Framework 5.3.0 op til og med 5.3.48
- Spring Framework 6.1.0 op til og med 6.1.27
- Spring Framework 6.2.0 op til og med 6.2.18
- Spring Framework 7.0.0 op til og med 7.0.7
Er du i tvivl om din applikation bruger Spring Framework, bør du spørge din udvikler eller IT-leverandør.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan det medføre, at din applikation bliver utilgængelig for dine brugere eller kunder – et såkaldt servicenedbrud (Denial of Service). Angriberen behøver hverken brugernavn, adgangskode eller særlige rettigheder for at udføre angrebet. Selve angrebet kan udføres fra internettet. Der er dog krav om, at angriberen kan sende et brugerdefineret URL-mønster direkte eller indirekte til applikationen, hvilket kræver en vis teknisk omstændighed. Fortrolighed og dataintegritet påvirkes ikke – det er udelukkende tilgængeligheden af din applikation, der er i fare.
Hvor alvorligt er det?
Sårbarheden er vurderet til lav alvorlighed med en CVSS-score på 3.7 ud af 10. Det skyldes primært, at angrebet kræver høj kompleksitet – det er altså ikke trivielt at udnytte. Desuden er der ingen risiko for datalæk eller manipulation af data. Det værste der kan ske er et midlertidigt nedbrud af din applikation. For de fleste SMV’er er risikoen begrænset, men et nedbrud kan stadig påvirke kundeoplevelsen og din virksomheds omdømme, særligt hvis applikationen er forretningskritisk.
Hvad gør jeg nu?
Du bør opdatere Spring Framework i dine Java-applikationer til en af de rettede versioner. Kontakt din udvikler eller IT-leverandør med følgende liste:
- Identificér om dine applikationer bruger Spring Framework – bed din udvikler eller IT-leverandør tjekke dette.
- Opdatér Spring Framework til en af de rettede versioner: 5.3.49 eller nyere, 6.1.28 eller nyere, 6.2.19 eller nyere, eller 7.0.8 eller nyere.
- Test applikationen efter opdateringen for at sikre, at alt fungerer normalt.
- Overvej om din applikation tillader brugere at sende egne URL-mønstre – begræns dette hvis muligt som et ekstra lag af sikkerhed.
- Hold øje med opdateringer fra VMware Spring og din IT-leverandør fremover.
Opdatér inden for 30 dage
Vi anbefaler, at du beder din udvikler eller IT-leverandør opdatere Spring Framework til en rettet version hurtigst muligt. Selvom risikoen er lav, er opdateringen nem at gennemføre, og den eliminerer sårbarheden helt. Prioritér opdateringen højest, hvis din applikation er tilgængelig fra internettet og tillader brugere at indsende URL-mønstre eller stier.
Tidslinje
Konkrete eksempler
Ondsindet URL-mønster sendt til en webapplikation
En angriber finder en offentligt tilgængelig Spring-baseret webapplikation, der accepterer URL-stier som input – f.eks. en søgefunktion eller en API-rute. Angriberen sender et særligt konstrueret mønster fyldt med mange vilkårlige tegn og jokertegn, som får applikationens AntPathMatcher til at bruge eksponentielt lang tid på at behandle det. Applikationen hænger og kan ikke svare på andre brugeres forespørgsler, hvilket resulterer i et servicenedbrud.
Angreb via en offentlig REST API
En virksomhed har en REST API (et programgrænsefladeendepunkt) bygget med Spring Framework, som bruges af kunder eller partnere. Hvis API’et videregiver brugerindtastede stier til AntPathMatcher uden validering, kan en angriber sende gentagne anmodninger med ondsindede mønstre. Serveren overbelastes og API’et bliver utilgængeligt for legitime brugere, indtil applikationen genstartes eller opdateres.
Intern applikation ramt via kompromitteret bruger
Selvom angrebet ikke kræver login, kan en angriber med adgang til en intern portal – f.eks. via phishing – sende ondsindede URL-mønstre til en intern Spring-applikation. Dette kan gøre applikationen utilgængelig for medarbejdere i en kritisk arbejdsperiode, f.eks. i forbindelse med fakturering eller ordrebehandling.
Ofte stillede spørgsmål
Kan en angriber stjæle vores data via denne sårbarhed?
Nej. Denne sårbarhed påvirker udelukkende tilgængeligheden af din applikation. En angriber kan ikke læse, kopiere eller ændre data ved hjælp af denne fejl. Det eneste der kan ske er, at applikationen midlertidigt holder op med at svare.
Hvordan ved jeg, om mine applikationer bruger Spring Framework?
Det kræver typisk, at din udvikler eller IT-leverandør kigger på applikationens kode eller bygge-konfiguration (f.eks. filer som pom.xml eller build.gradle). Du kan også spørge direkte: ‘Bruger vores Java-applikationer Spring Framework, og i hvilken version?’
Er der en midlertidig løsning, hvis vi ikke kan opdatere med det samme?
Ja, som en midlertidig foranstaltning kan du sikre, at din applikation ikke tillader brugere at sende egne URL-mønstre direkte til de berørte AntPathMatcher-metoder. Det kræver dog teknisk indsigt at vurdere og implementere korrekt, så kontakt din udvikler. Den bedste løsning forbliver at opdatere til en rettet version.
Bliver vores applikation automatisk opdateret?
Ikke nødvendigvis. Spring Framework er typisk en del af applikationens kode, og opdateringen kræver, at din udvikler eller IT-leverandør aktivt opdaterer og genudvikler applikationen. Det sker ikke automatisk som f.eks. Windows-opdateringer. Kontakt din leverandør for at høre om status.
Hvad koster det at blive ramt af et ReDoS-angreb?
Konsekvensen er typisk et midlertidigt servicenedbrud, hvor din applikation ikke kan bruges. For en webshop eller kundeportal kan selv få minutters nedbrud betyde tabte salg og dårlig kundeoplevelse. Omkostningerne afhænger af, hvor kritisk applikationen er for din forretning.
Ramte produkter
Vmware — Spring Framework
≥ 5.3.0, < 5.3.49
Vmware — Spring Framework
≥ 6.1.0, < 6.1.28
Vmware — Spring Framework
≥ 6.2.0, < 6.2.19
Vmware — Spring Framework
≥ 7.0.0, < 7.0.8
CVSS-detaljer
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Applications may be vulnerable to a Regular Expression Denial of Service (ReDoS) attack if an attacker is able to provide a pattern which is then directly or indirectly supplied to one of the following methods in AntPathMatcher: match(String pattern, String path), matchStart(String pattern, String path), extractUriTemplateVariables(String pattern, String path).
Affected versions:
Spring Framework 7.0.0 through 7.0.7; 6.2.0 through 6.2.18; 6.1.0 through 6.1.27; 5.3.0 through 5.3.48.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
