Spring Vulnerabilities Open Door to Arbitrary File Access and GCP Secret Leaks
2026/05/07 gbhackers — Spring Cloud Config において、Medium から Critical に分類される 4件の新たな脆弱性が特定された。新たに公開された脆弱性を悪用する攻撃者は、任意のファイル・アクセス/Google Cloud Platform (GCP) シークレットの漏洩/システム・ディレクトリの不正操作を引き起こす恐れがある。管理者にとって必要なことは、直ちにパッチを適用して、積極的な悪用を防ぐことである。
Spring の脆弱性
ディレクトリ・トラバーサルの脆弱性:CVE-2026-40982:Critical
最も深刻な脆弱性 CVE-2026-40982 は、任意のテキスト/バイナリ・ファイルを提供する機能を持つ、spring-cloud-config-server モジュールのディレクトリ・トラバーサルの欠陥に起因する。細工された URL リクエストを送信する未認証のリモート攻撃者は、このモジュールを悪用することでディレクトリ・トラバーサル攻撃を実行できる。
この悪用に成功した攻撃者は、サーバに保存される機密ファイルへの不正アクセスを可能にする。Swapnil Paliwal/August 829/rash18mi/AxiomCode セキュリティ・チームが、この脆弱性を責任ある形で開示した。
GCP シークレット漏洩の脆弱性:CVE-2026-40981:High
脆弱性 CVE-2026-40981 は、Spring Cloud Config サーバのバックエンドとして、Google Secrets Manager を利用する環境に影響を及ぼす。特定のリクエストを構築する悪意のクライアントが、意図しない GCP プロジェクトのシークレットを取得する可能性がある。
即時パッチ適用が困難な場合には、”spring.cloud.config.server.gcp-secret-manager.token-mandatory=true” を設定することでリスクを軽減できる。この設定により、クライアントは有効なトークンの送信を強制され、システムによるアクセス権の検証が可能になる。
TOCTOU 攻撃の脆弱性:CVE-2026-41002:High
脆弱性 CVE-2026-41002 は、time-of-check-time-of-use (TOCTOU) に起因し、Git リポジトリのクローンに使用されるベース・ディレクトリに影響を及ぼす。この競合状態を突く攻撃者は、クローン処理中にファイルを操作する可能性がある。この問題は PayPal の Yu Bao により発見された。
ログ情報漏洩の脆弱性:CVE-2026-41004:Medium
脆弱性 CVE-2026-41004 は、アプリケーションログを通じた機密情報の露出を引き起こす。”trace logging” が有効化されている場合に、システムは機密データを平文でログに記録するため、情報漏洩のリスクが生じる。
| CVE Identifier | Severity | Description |
|---|---|---|
| CVE-2026-40982 | Critical | Critical Directory Traversal Flaw |
| CVE-2026-40981 | High | GCP Secret Exposure Risk |
| CVE-2026-41002 | High | High-severity time-of-check-time-of-use (TOCTOU) vulnerability |
| CVE-2026-41004 | Medium | Enabling trace logging in the Spring Cloud Config Server |
これらの脆弱性は、Spring Cloud Config のブランチ 3.1.x/4.1.x/4.2.x/4.3.x/5.0.x に影響を及ぼす。また、サポートが終了しているバージョンも影響を受ける。
環境を保護するためには、使用中のブランチに応じた修正済みバージョンへのアップグレードが必要である。4.3.x/5.0.x のユーザーは、OSS パッチによる 4.3.3/5.0.3 へのアップグレードが可能である。
旧ブランチを利用する組織は、VMware の Enterprise Support 契約を維持することで、修正版 3.1.14/4.1.10/4.2.7 の入手が可能となる。
訳者後書:Java の人気フレームワーク Spring Cloud の、設定管理ツールである Spring Cloud Config で特定された 4 件の新しい脆弱性について解説する記事です。一連の問題の原因は、外部からのリクエストに対する検証不足や、データの処理順序における設計上の不備にあります。特に深刻なのは CVE-2026-40982 で、サーバー上のファイルを読み出す際のチェックが不十分なため、攻撃者が URL を工夫するだけで、本来はアクセスできない重要ファイルを盗み出せる状態にあります。また、Google Cloud の秘密情報を管理する機能において、特定の条件下で他人の情報が混ざってしまう脆弱性 CVE-2026-40981 なども確認されています。ご利用のチームは、ご注意ください。よろしければ、Spring での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.