Breaking
ITAeroporto di Catania: interruzione voli per attività vulcanicaCN警開道護送及時就醫 女嬰呼吸困難獲救JP北朝鮮、医療先進化へ海外知見吸収 - 英語論文引用、日本語文献も閲覧JP2026年3月期、1億円以上報酬の役員970人超 過去最多を更新DEChina testet ballistische Rakete aus Atom-U-Boot im PazifikRUВ Тульской области задержан сын, подозреваемый в убийстве родителейCN欣新網策略投資東南亞電商龍頭aCommerce,打造亞洲AI品牌服務平台SEBelfast-kravaller visar på nya och gamla konflikterPLAutobus wjechał w przejście podziemne w Warszawie. Awaria czujnika gazu?AUChina conducts long-range missile test in Pacific, drawing condemnation from AustraliaITAeroporto di Catania: interruzione voli per attività vulcanicaCN警開道護送及時就醫 女嬰呼吸困難獲救JP北朝鮮、医療先進化へ海外知見吸収 - 英語論文引用、日本語文献も閲覧JP2026年3月期、1億円以上報酬の役員970人超 過去最多を更新DEChina testet ballistische Rakete aus Atom-U-Boot im PazifikRUВ Тульской области задержан сын, подозреваемый в убийстве родителейCN欣新網策略投資東南亞電商龍頭aCommerce,打造亞洲AI品牌服務平台SEBelfast-kravaller visar på nya och gamla konflikterPLAutobus wjechał w przejście podziemne w Warszawie. Awaria czujnika gazu?AUChina conducts long-range missile test in Pacific, drawing condemnation from Australia
Newsgather
BackSicherheitslücken in VMware Tanzu Spring Security: Patches verfügbar
Sicherheitslücken in VMware Tanzu Spring Security: Patches verfügbar
Urgent
Heise Online4/23/2026Tech1 min readGermany

Sicherheitslücken in VMware Tanzu Spring Security: Patches verfügbar

Sieben Schwachstellen ermöglichen unter anderem die Ausführung von Schadcode; Administratoren sollten zeitnah aktualisieren.

Quick Look

  • VMware hat sieben Sicherheitslücken in Tanzu Spring Security geschlossen, darunter eine kritische Schwachstelle, die Codeausführungen ermöglichen könnte.
  • Administratoren werden dringend zur Installation der bereitgestellten Sicherheitsupdates aufgerufen.

AI-generated summary

Why It Matters

Tanzu Spring Security ist ein Framework zur Authentifizierung und Zugriffskontrolle für Spring-basierte Anwendungen.

Font size

Angreifer können insgesamt sieben Sicherheitslücken in VMware Tanzu Spring Security ausnutzen und im schlimmsten Fall eigenen Code ausführen. Mittlerweile sind Sicherheitsupdates verfügbar. Auch wenn es bislang keine Hinweise seitens des Softwareherstellers auf Attacken gibt, sollen Admins die Patches zeitnah installieren.

Tanzu Spring Security ist ein Authentifizierungs- und Zugriffskontroll-Framework, um den Umgang mit Spring-basierten Anwendungen so sicher wie möglich zu gestalten. Nun wird es aber selbst zum Sicherheitsrisiko.

Am gefährlichsten gilt einer Warnmeldung zufolge eine „kritische“ Schwachstelle (CVE-2026-22752) im Rahmen der Dynamic Client Registration. Weil Metadatenfelder bei der Registrierung eines neuen Clients nicht ausreichend überprüft werden, können Angreifer dort einen Exploit platzieren. Dafür müssen sie aber bereits über einen gültigen Initial Access Token verfügen. Klappt eine Attacke, können Angreifer einen unter ihrer Kontrolle stehenden Client registrieren und unter anderem im Rahmen einer Stored-XSS-Attacken Schadcode ausführen.

Zwei weitere Lücken sind mit dem Bedrohungsgrad „hoch“ eingestuft (CVE-2026-22754, CVE-2026-22753). Weil Angreifer Anfragen an Pfade, die eigentlich geschützt sein sollten, schicken können, sind Sicherheitsmechanismen umgehbar.

Die Entwickler versichern, die Sicherheitsprobleme in der Tanzu-Spring-Security-Ausgabe 7.0.5 und Spring Authorization Server 1.3.11, 1.4.10 und 1.5.7 gelöst zu haben. Weitere Details zu den Softwareschwachstellen und bedrohten und abgesicherten Versionen finden Admins im Sicherheitsbereich der VMware-Tanzu-Website.

What to Watch

AI outlook — possibilities, not facts

  • Administratoren werden in den kommenden Tagen verstärkt Sicherheitsupdates für die betroffenen Versionen einspielen.

    Very likely · Within days

Open Questions

  • Gibt es bereits Anzeichen für eine aktive Ausnutzung der Lücken in freier Wildbahn?

Related Topics

This article was originally published by Heise Online.

Related Stories

More on this topicvmware