개요.
Spring 제품에서 Spring Security 관련 취약점 두 건이 발표되었다.
취약점 식별자는 CVE-2026-22753 및 CVE-2026-22754이다.
영향을 받는 버전은 Spring Security 7.0.0 이상 7.0.4 이하이다.
패치는 7.0.5 버전에서 제공된다.
취약점 상세.
CVE-2026-22753은 HttpSecurity#securityMatchers의 경로 매칭에서 Servlet Path가 올바르게 포함되지 않는 문제로, 의도한 경로 기반 보안 규칙이 우회될 수 있다.
CVE-2026-22754는 XML 기반 인가 규칙의 경로 매칭에서도 Servlet Path가 누락되어 인가 우회가 발생할 수 있는 문제이다.
두 취약점 모두 경로 매칭 불일치로 인해 권한 검증이나 접근 제어 정책이 무력화될 위험을 초래한다.
영향 및 위험도.
영향으로는 경로 기반 보안 정책의 무효화, 원하지 않는 리소스에 대한 무단 접근, 권한 검증 우회 등이 있다.
공격자는 잘못된 경로 매칭을 이용해 인가되지 않은 기능이나 데이터를 획득할 가능성이 있다.
대응 및 권고.
취약점은 7.0.5 버전에서 수정되었다.
영향을 받는 제품은 최신 패치 버전(7.0.5)으로 업데이트해야 한다는 권고가 제시된다.
업데이트 전 시스템별 영향도를 평가하고 테스트한 후 적용하는 것이 바람직하다.
참고자료.
CVE-2026-22753: https://spring.io/security/cve-2026-22753.
CVE-2026-22754: https://spring.io/security/cve-2026-22754.