개요
Spring 제품에서 발생하는 취약점을 해결하는 보안 업데이트가 발표되었다. 대상 제품 사용자는 최신 버전으로 업데이트하는 것이 권고되었다.
영향받는 제품 및 버전
- Spring Boot 4.0.0 이상 4.0.5 이하.
- Spring Boot 3.5.0 이상 3.5.13 이하.
- Spring Boot 3.4.0 이상 3.4.15 이하.
- Spring Boot 3.3.0 이상 3.3.18 이하.
- Spring Boot 2.7.0 이상 2.7.32 이하.
해결된 취약점
- CVE-2026-40972: Spring Boot에서 발생하는 DevTools(원격 개발 도구) remote secret 비교가 timing attacks(시간차를 이용한 공격)에 취약한 문제.
- CVE-2026-40973: Spring Boot에서 발생하는 예측 가능한 임시 디렉터리를 소유권 검증 없이 स्वीकार하는 문제.
패치 버전
- Spring Boot 4.0.6.
- Spring Boot 3.5.14.
- Spring Boot 3.4.16.
- Spring Boot 3.3.19.
- Spring Boot 2.7.33.
참고
참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트하는 것이 필요하다.