Eilmeldung
RUСпасатели ищут пропавшую группу туристов в Магаданской областиVNTesla hạn chế nhân viên sử dụng AI để kiềm chế chi phíKRBLACKPINK's Jennie Becomes First K-Pop Solo Artist to Headline Two Major European Festivals Back-to-BackARرونالدو يؤكد أن كأس العالم هذه ستكون الأخيرة له مع البرتغالDERussland fliegt neue Luftangriffe auf Ukraine – Kiew meldet Schäden und OpferINTLFormer CDC Official Criticizes Health Secretary for "Irreparable Harm"VNTrung vệ Gabriel bị chê trách vì không kèm nổi HaalandKR당진시, 프란치스코 교황에게 솔뫼성지 방문 요청KR가덕 신공항 건설업체, 공사비 현실화 요구 탄원서 제출KR프로당구 신생팀 브레이커스, 휴온스 상대로 4-0 완승 '돌풍 예고'RUСпасатели ищут пропавшую группу туристов в Магаданской областиVNTesla hạn chế nhân viên sử dụng AI để kiềm chế chi phíKRBLACKPINK's Jennie Becomes First K-Pop Solo Artist to Headline Two Major European Festivals Back-to-BackARرونالدو يؤكد أن كأس العالم هذه ستكون الأخيرة له مع البرتغالDERussland fliegt neue Luftangriffe auf Ukraine – Kiew meldet Schäden und OpferINTLFormer CDC Official Criticizes Health Secretary for "Irreparable Harm"VNTrung vệ Gabriel bị chê trách vì không kèm nổi HaalandKR당진시, 프란치스코 교황에게 솔뫼성지 방문 요청KR가덕 신공항 건설업체, 공사비 현실화 요구 탄원서 제출KR프로당구 신생팀 브레이커스, 휴온스 상대로 4-0 완승 '돌풍 예고'
Newsgather
BackSicherheitslücken in VMware Tanzu Spring Security: Patches verfügbar
Sicherheitslücken in VMware Tanzu Spring Security: Patches verfügbar
Dringend
Heise Online23.04.2026Technik1 dk okumaGermany

Sicherheitslücken in VMware Tanzu Spring Security: Patches verfügbar

Sieben Schwachstellen ermöglichen unter anderem die Ausführung von Schadcode; Administratoren sollten zeitnah aktualisieren.

Auf einen Blick

  • VMware hat sieben Sicherheitslücken in Tanzu Spring Security geschlossen, darunter eine kritische Schwachstelle, die Codeausführungen ermöglichen könnte.
  • Administratoren werden dringend zur Installation der bereitgestellten Sicherheitsupdates aufgerufen.

KI-generierte Zusammenfassung

Warum es wichtig ist

Tanzu Spring Security ist ein Framework zur Authentifizierung und Zugriffskontrolle für Spring-basierte Anwendungen.

Schriftgröße

Angreifer können insgesamt sieben Sicherheitslücken in VMware Tanzu Spring Security ausnutzen und im schlimmsten Fall eigenen Code ausführen. Mittlerweile sind Sicherheitsupdates verfügbar. Auch wenn es bislang keine Hinweise seitens des Softwareherstellers auf Attacken gibt, sollen Admins die Patches zeitnah installieren.

Tanzu Spring Security ist ein Authentifizierungs- und Zugriffskontroll-Framework, um den Umgang mit Spring-basierten Anwendungen so sicher wie möglich zu gestalten. Nun wird es aber selbst zum Sicherheitsrisiko.

Am gefährlichsten gilt einer Warnmeldung zufolge eine „kritische“ Schwachstelle (CVE-2026-22752) im Rahmen der Dynamic Client Registration. Weil Metadatenfelder bei der Registrierung eines neuen Clients nicht ausreichend überprüft werden, können Angreifer dort einen Exploit platzieren. Dafür müssen sie aber bereits über einen gültigen Initial Access Token verfügen. Klappt eine Attacke, können Angreifer einen unter ihrer Kontrolle stehenden Client registrieren und unter anderem im Rahmen einer Stored-XSS-Attacken Schadcode ausführen.

Zwei weitere Lücken sind mit dem Bedrohungsgrad „hoch“ eingestuft (CVE-2026-22754, CVE-2026-22753). Weil Angreifer Anfragen an Pfade, die eigentlich geschützt sein sollten, schicken können, sind Sicherheitsmechanismen umgehbar.

Die Entwickler versichern, die Sicherheitsprobleme in der Tanzu-Spring-Security-Ausgabe 7.0.5 und Spring Authorization Server 1.3.11, 1.4.10 und 1.5.7 gelöst zu haben. Weitere Details zu den Softwareschwachstellen und bedrohten und abgesicherten Versionen finden Admins im Sicherheitsbereich der VMware-Tanzu-Website.

Worauf zu achten ist

KI-Ausblick — Möglichkeiten, keine Fakten

  • Administratoren werden in den kommenden Tagen verstärkt Sicherheitsupdates für die betroffenen Versionen einspielen.

    Sehr wahrscheinlich · Innerhalb von Tagen

Offene Fragen

  • Gibt es bereits Anzeichen für eine aktive Ausnutzung der Lücken in freier Wildbahn?

Verwandte Themen

This article was originally published by Heise Online.

Ähnliche Meldungen

Mehr zu diesem Themavmware