CVE-2026-41848
Lav

CVE-2026-41848: ReDoS i VMware Spring Framework

En angriber kan sende et særligt mønster til din Spring-applikation og gøre den utilgængelig – uden at have adgang til systemet.

CVSS Score
3.7
Offentliggjort
09/06/2026
Patch-status
available
Exploit
theoretical
Tidsfrist
Opdatér inden for 30 dage

Hvad er det?

CVE-2026-41848 er en sårbarhed i VMware Spring Framework, som er et meget udbredt fundament til at bygge Java-webapplikationer. Fejlen kaldes ReDoS – Regular Expression Denial of Service. Det betyder, at en angriber kan sende et ondsindet søgemønster (et såkaldt regulært udtryk) til din applikation, som får den til at bruge ekstremt lang tid på at behandle det. Resultatet er, at applikationen bliver langsom eller helt holder op med at svare. Fejlen ligger i en komponent kaldet AntPathMatcher, som bruges til at matche URL-stier i webapplikationer.

Hvem rammer det?

Sårbarheden rammer dig, hvis din virksomhed har webapplikationer eller API’er (programgrænseflader) bygget med VMware Spring Framework i følgende versioner:

  • Spring Framework 5.3.0 op til og med 5.3.48
  • Spring Framework 6.1.0 op til og med 6.1.27
  • Spring Framework 6.2.0 op til og med 6.2.18
  • Spring Framework 7.0.0 op til og med 7.0.7

Er du i tvivl om din applikation bruger Spring Framework, bør du spørge din udvikler eller IT-leverandør.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan det medføre, at din applikation bliver utilgængelig for dine brugere eller kunder – et såkaldt servicenedbrud (Denial of Service). Angriberen behøver hverken brugernavn, adgangskode eller særlige rettigheder for at udføre angrebet. Selve angrebet kan udføres fra internettet. Der er dog krav om, at angriberen kan sende et brugerdefineret URL-mønster direkte eller indirekte til applikationen, hvilket kræver en vis teknisk omstændighed. Fortrolighed og dataintegritet påvirkes ikke – det er udelukkende tilgængeligheden af din applikation, der er i fare.

Hvor alvorligt er det?

Sårbarheden er vurderet til lav alvorlighed med en CVSS-score på 3.7 ud af 10. Det skyldes primært, at angrebet kræver høj kompleksitet – det er altså ikke trivielt at udnytte. Desuden er der ingen risiko for datalæk eller manipulation af data. Det værste der kan ske er et midlertidigt nedbrud af din applikation. For de fleste SMV’er er risikoen begrænset, men et nedbrud kan stadig påvirke kundeoplevelsen og din virksomheds omdømme, særligt hvis applikationen er forretningskritisk.

Hvad gør jeg nu?

Du bør opdatere Spring Framework i dine Java-applikationer til en af de rettede versioner. Kontakt din udvikler eller IT-leverandør med følgende liste:

  1. Identificér om dine applikationer bruger Spring Framework – bed din udvikler eller IT-leverandør tjekke dette.
  2. Opdatér Spring Framework til en af de rettede versioner: 5.3.49 eller nyere, 6.1.28 eller nyere, 6.2.19 eller nyere, eller 7.0.8 eller nyere.
  3. Test applikationen efter opdateringen for at sikre, at alt fungerer normalt.
  4. Overvej om din applikation tillader brugere at sende egne URL-mønstre – begræns dette hvis muligt som et ekstra lag af sikkerhed.
  5. Hold øje med opdateringer fra VMware Spring og din IT-leverandør fremover.
Tidsfrist

Opdatér inden for 30 dage

Sådan ser Auroa det

Vi anbefaler, at du beder din udvikler eller IT-leverandør opdatere Spring Framework til en rettet version hurtigst muligt. Selvom risikoen er lav, er opdateringen nem at gennemføre, og den eliminerer sårbarheden helt. Prioritér opdateringen højest, hvis din applikation er tilgængelig fra internettet og tillader brugere at indsende URL-mønstre eller stier.

Tidslinje

09/06/2026
CVE offentliggjort
VMware og NVD offentliggør CVE-2026-41848. Sårbarheden i Spring Frameworks AntPathMatcher beskrives officielt, og berørte versioner identificeres.
09/06/2026
Rettede versioner udgivet
VMware udgiver rettede versioner af Spring Framework: 5.3.49, 6.1.28, 6.2.19 og 7.0.8, som alle løser ReDoS-sårbarheden.
09/06/2026
Ingen kendte aktive angreb
På tidspunktet for offentliggørelsen er der ingen rapporter om aktiv udnyttelse i praksis. Sårbarheden vurderes som teoretisk på nuværende tidspunkt.

Konkrete eksempler

Ondsindet URL-mønster sendt til en webapplikation

En angriber finder en offentligt tilgængelig Spring-baseret webapplikation, der accepterer URL-stier som input – f.eks. en søgefunktion eller en API-rute. Angriberen sender et særligt konstrueret mønster fyldt med mange vilkårlige tegn og jokertegn, som får applikationens AntPathMatcher til at bruge eksponentielt lang tid på at behandle det. Applikationen hænger og kan ikke svare på andre brugeres forespørgsler, hvilket resulterer i et servicenedbrud.

Angreb via en offentlig REST API

En virksomhed har en REST API (et programgrænsefladeendepunkt) bygget med Spring Framework, som bruges af kunder eller partnere. Hvis API’et videregiver brugerindtastede stier til AntPathMatcher uden validering, kan en angriber sende gentagne anmodninger med ondsindede mønstre. Serveren overbelastes og API’et bliver utilgængeligt for legitime brugere, indtil applikationen genstartes eller opdateres.

Intern applikation ramt via kompromitteret bruger

Selvom angrebet ikke kræver login, kan en angriber med adgang til en intern portal – f.eks. via phishing – sende ondsindede URL-mønstre til en intern Spring-applikation. Dette kan gøre applikationen utilgængelig for medarbejdere i en kritisk arbejdsperiode, f.eks. i forbindelse med fakturering eller ordrebehandling.

Ofte stillede spørgsmål

Ramte produkter

Vmware — Spring Framework

≥ 5.3.0, < 5.3.49

Vmware — Spring Framework

≥ 6.1.0, < 6.1.28

Vmware — Spring Framework

≥ 6.2.0, < 6.2.19

Vmware — Spring Framework

≥ 7.0.0, < 7.0.8

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
HIGH
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
NONE
Integrity
NONE
Availability
LOW

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L

CWE-svaghedstyper

CWE-1333

Original NVD-beskrivelse (engelsk)

Applications may be vulnerable to a Regular Expression Denial of Service (ReDoS) attack if an attacker is able to provide a pattern which is then directly or indirectly supplied to one of the following methods in AntPathMatcher: match(String pattern, String path), matchStart(String pattern, String path), extractUriTemplateVariables(String pattern, String path).

Affected versions:
Spring Framework 7.0.0 through 7.0.7; 6.2.0 through 6.2.18; 6.1.0 through 6.1.27; 5.3.0 through 5.3.48.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Lav
CVSS Base Score
3.7
Visning
Hurtige fakta
CVE-ID
CVE-2026-41848
Offentliggjort
09/06/2026
Sidst opdateret
17/06/2026
Exploit-status
theoretical
Patch-status
available
Tidsfrist
Opdatér inden for 30 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.