عاجل
FRCoupe du monde 2026 : Portugal - Espagne en 8es de finaleFRFifa rejette le recours belge contre le repêchage de BalogunFRFrançois Bayrou alerte sur le "péril de la dette" françaiseFRAffaire des assistants parlementaires : Marine Le Pen connaîtra mardi le verdict de la cour d'appelFRNetanyahu déclenche une crise constitutionnelle en défiant la Cour suprêmeFRIncendies : le feu dans les Pyrénées-Orientales "n'est pas fixé" et "continue à progresser"FRProcès de streameurs à Nice après le décès en direct de Jean PormanoveFRAccueil des enfants de l’ASE : un amendement de LFI voulait supprimer l’exclusion automatique des personnes fichées pour terrorisme, une députée LR «indignée»FRLaurent Jacobelli (RN) se moque des soutiens d'Édouard Philippe à son meetingCRYPTO-FRBitcoin : la rentabilité des cycles haussiers chute mathématiquementFRCoupe du monde 2026 : Portugal - Espagne en 8es de finaleFRFifa rejette le recours belge contre le repêchage de BalogunFRFrançois Bayrou alerte sur le "péril de la dette" françaiseFRAffaire des assistants parlementaires : Marine Le Pen connaîtra mardi le verdict de la cour d'appelFRNetanyahu déclenche une crise constitutionnelle en défiant la Cour suprêmeFRIncendies : le feu dans les Pyrénées-Orientales "n'est pas fixé" et "continue à progresser"FRProcès de streameurs à Nice après le décès en direct de Jean PormanoveFRAccueil des enfants de l’ASE : un amendement de LFI voulait supprimer l’exclusion automatique des personnes fichées pour terrorisme, une députée LR «indignée»FRLaurent Jacobelli (RN) se moque des soutiens d'Édouard Philippe à son meetingCRYPTO-FRBitcoin : la rentabilité des cycles haussiers chute mathématiquement
Newsgather
BackNeun Sicherheitslücken in VMware Tanzu Spring Boot geschlossen
Neun Sicherheitslücken in VMware Tanzu Spring Boot geschlossen
مُلِح
Heise Online27.04.2026تقنية1 dk okumaGermany

Neun Sicherheitslücken in VMware Tanzu Spring Boot geschlossen

Kritische Authentifizierungslücke ermöglicht unbefugten Zugriff auf alle Endpoints

نظرة سريعة

  • VMware hat neun Sicherheitslücken in Tanzu Spring Boot geschlossen, darunter eine kritische Authentifizierungslücke (CVE-2026-40976).
  • Admins müssen auf Version 3.5.14 oder 4.0.6 upgraden.
  • Auch nicht mehr unterstützte Versionen sind verwundbar.

ملخص مُنشأ بالذكاء الاصطناعي

لماذا يهم

VMware Tanzu Spring Boot ist ein Framework für die Entwicklung von Java-Anwendungen. Die kritische Lücke CVE-2026-40976 betrifft den Security Filter Chain und ermöglicht bei bestimmten Konfigurationen unbefugten Zugriff auf alle Endpoints.

حجم الخط

Angreifer können an mehrere Sicherheitslücken in VMware Tanzu Spring Boot ansetzen und Instanzen im schlimmsten Fall vollständig kompromittieren. Sicherheitsupdates sind verfügbar. Derzeit gibt es seitens des Softwareherstellers keine Berichte, dass Angreifer die Lücken bereits ausnutzen.

Unbefugte Zugriffe möglich

Die Entwickler versichern, die Sicherheitsprobleme in den Ausgaben 3.5.14 und 4.0.6 gelöst zu haben. Sie weisen zusätzlich darauf hin, dass auch nicht mehr im Support befindliche Versionen verwundbar sind. An dieser Stelle müssen Admins auf eine noch untersützte Version upgraden. Insgesamt wurden neun Schwachstellen geschlossen.

Wie aus einer Warnmeldung hervorgeht, ist eine (CVE-2026-40976) mit dem Bedrohungsgrad „kritisch“ eingestuft. Weil die Authentifizierung nicht verlässlich funktioniert, können Angreifer auf alle Endpoints zugreifen. Damit eine solche Attacke klappt, müssen aber mehrere in der Warnmeldung aufgelisteten Voraussetzungen erfüllt sein. So muss es sich etwa um eine Servlet-basierte Web-Anwendung handeln. Wie ein derartiger Angriff im Detail ablaufen könnte, ist bislang unklar.

Weitere Gefahren

Ferner können Angreifer noch unter anderem aus der Ferne Schadcode ausführen (CVE-2026-40972 „hoch") oder Instanzen dazu bringen, sich mit bösartigen Hosts zu verbinden (CVE-2026-40974 „mittel"). Weitere Informationen zu den geschlossenen Softwareschwachstellen und bedrohten Versionen finden Admins in den verlinkten Warnmeldungen.

Liste nach Bedrohungsgrad absteigend sortiert:

CVE-2026-40976: Default security filter chain has no authorization rule with Actuator but without Health CVE-2026-40972: DevTools remote secret comparison is vulnerable to timing attacks CVE-2026-40973: Predictable temp directory accepted without ownership verification CVE-2026-40970: Elasticsearch auto-configuration with an SSL bundle disables TLS hostname verification CVE-2026-40971: RabbitMQ auto-configuration with an SSL bundle disables TLS hostname verification CVE-2026-40974: Cassandra SSL auto-configuration disables TLS hostname verification CVE-2026-40975: Random value property source uses a weak PRNG unsuitable for secrets CVE-2026-40977: PID file write follows symlinks at predictable default path

Zuletzt haben die Entwickler mehrere Sicherheitslücken in VMware Tanzu Spring Security geschlossen.

أسئلة مفتوحة

  • Wie genau ein Angriff bei CVE-2026-40976 ablaufen würde
  • Ob bereits Angriffe in freier Wildbahn stattfinden

مواضيع ذات صلة

This article was originally published by Heise Online.

أخبار ذات صلة

المزيد حول هذا الموضوعvmware