Dernière minute
FR«La pire attaque depuis le début de la guerre en Ukraine» : ce que l’on sait des frappes russes sur Kiev, qui ont fait au moins 30 mortsTRABD'de Aşırı Sıcaklar ve Şiddetli Fırtınalar: Çok Sayıda Ölüm ve Elektrik KesintisiCRYPTO-FRSolana prend du terrain sur Ethereum dans la tokenisation des actifs du monde réel (RWA)FRBanijay Group rachète les 33 casinos Joa pour 430 millions d'eurosRUВ Подмосковье судят серийного маньяка Алексея Гаськова, обвиняемого в убийстве 10 человекPLSystem kaucyjny na fali. Tak robią to PolacyDEKai Viehof: Der Millionär, der sein Erbe verteilen willRUНад Орловской областью уничтожены восемь украинских БПЛА за ночьDEUS-Präsident soll Fifa-Chef wegen Balogun-Sperre kontaktiert habenRUИспаноязычные наемники ВСУ отказались выполнять приказы под Петро-ИвановкойFR«La pire attaque depuis le début de la guerre en Ukraine» : ce que l’on sait des frappes russes sur Kiev, qui ont fait au moins 30 mortsTRABD'de Aşırı Sıcaklar ve Şiddetli Fırtınalar: Çok Sayıda Ölüm ve Elektrik KesintisiCRYPTO-FRSolana prend du terrain sur Ethereum dans la tokenisation des actifs du monde réel (RWA)FRBanijay Group rachète les 33 casinos Joa pour 430 millions d'eurosRUВ Подмосковье судят серийного маньяка Алексея Гаськова, обвиняемого в убийстве 10 человекPLSystem kaucyjny na fali. Tak robią to PolacyDEKai Viehof: Der Millionär, der sein Erbe verteilen willRUНад Орловской областью уничтожены восемь украинских БПЛА за ночьDEUS-Präsident soll Fifa-Chef wegen Balogun-Sperre kontaktiert habenRUИспаноязычные наемники ВСУ отказались выполнять приказы под Петро-Ивановкой
Newsgather
BackSicherheitslücken in VMware Tanzu Spring Security: Patches verfügbar
Sicherheitslücken in VMware Tanzu Spring Security: Patches verfügbar
Urgent
Heise Online23.04.2026Tech1 dk okumaGermany

Sicherheitslücken in VMware Tanzu Spring Security: Patches verfügbar

Sieben Schwachstellen ermöglichen unter anderem die Ausführung von Schadcode; Administratoren sollten zeitnah aktualisieren.

L'essentiel

  • VMware hat sieben Sicherheitslücken in Tanzu Spring Security geschlossen, darunter eine kritische Schwachstelle, die Codeausführungen ermöglichen könnte.
  • Administratoren werden dringend zur Installation der bereitgestellten Sicherheitsupdates aufgerufen.

Résumé généré par IA

Pourquoi c'est important

Tanzu Spring Security ist ein Framework zur Authentifizierung und Zugriffskontrolle für Spring-basierte Anwendungen.

Taille de police

Angreifer können insgesamt sieben Sicherheitslücken in VMware Tanzu Spring Security ausnutzen und im schlimmsten Fall eigenen Code ausführen. Mittlerweile sind Sicherheitsupdates verfügbar. Auch wenn es bislang keine Hinweise seitens des Softwareherstellers auf Attacken gibt, sollen Admins die Patches zeitnah installieren.

Tanzu Spring Security ist ein Authentifizierungs- und Zugriffskontroll-Framework, um den Umgang mit Spring-basierten Anwendungen so sicher wie möglich zu gestalten. Nun wird es aber selbst zum Sicherheitsrisiko.

Am gefährlichsten gilt einer Warnmeldung zufolge eine „kritische“ Schwachstelle (CVE-2026-22752) im Rahmen der Dynamic Client Registration. Weil Metadatenfelder bei der Registrierung eines neuen Clients nicht ausreichend überprüft werden, können Angreifer dort einen Exploit platzieren. Dafür müssen sie aber bereits über einen gültigen Initial Access Token verfügen. Klappt eine Attacke, können Angreifer einen unter ihrer Kontrolle stehenden Client registrieren und unter anderem im Rahmen einer Stored-XSS-Attacken Schadcode ausführen.

Zwei weitere Lücken sind mit dem Bedrohungsgrad „hoch“ eingestuft (CVE-2026-22754, CVE-2026-22753). Weil Angreifer Anfragen an Pfade, die eigentlich geschützt sein sollten, schicken können, sind Sicherheitsmechanismen umgehbar.

Die Entwickler versichern, die Sicherheitsprobleme in der Tanzu-Spring-Security-Ausgabe 7.0.5 und Spring Authorization Server 1.3.11, 1.4.10 und 1.5.7 gelöst zu haben. Weitere Details zu den Softwareschwachstellen und bedrohten und abgesicherten Versionen finden Admins im Sicherheitsbereich der VMware-Tanzu-Website.

À surveiller

Perspective IA — des possibilités, pas des certitudes

  • Administratoren werden in den kommenden Tagen verstärkt Sicherheitsupdates für die betroffenen Versionen einspielen.

    Très probable · En quelques jours

Questions ouvertes

  • Gibt es bereits Anzeichen für eine aktive Ausnutzung der Lücken in freier Wildbahn?

Sujets liés

This article was originally published by Heise Online.

Articles liés

Plus sur ce sujetvmware