- Spring 제품에서 발생하는 취약점을 해결하는 보안 업데이트가 발표되었다.
- 대상 제품은 Spring Cloud Config와 Spring AI이다.
- Spring Cloud Config에서 해결된 취약점은 CVE-2026-40981, CVE-2026-40982, CVE-2026-41002이다.
- CVE-2026-40981은 권한 우회 취약점이다.
- CVE-2026-40982는 디렉터리 경로 조작 취약점이다.
- CVE-2026-41002는 TOCTOU 경쟁 상태 취약점이다.
- Spring AI에서 해결된 취약점은 CVE-2026-41705이다.
- CVE-2026-41705는 표현식 삽입 취약점이다.
- 영향을 받는 Spring Cloud Config 버전은 3.1.14 미만, 4.1.10 미만, 4.2.7 미만, 4.3.3 미만, 5.0.3 미만이다.
- 영향을 받는 Spring AI 버전은 1.0.0 이상 1.0.7 미만과 1.1.0 이상 1.1.6 미만이다.
- 최신 업데이트를 통해 패치가 제공되었으며, 해당 제품 사용자는 안내에 따라 최신 취약점 패치 버전으로 업데이트해야 한다.
- 참고된 안내에는 Spring Cloud Config Clients Can Access Secrets From Any Project The Config Server Has Access To On Google Secrets Manager, Directory Traversal with spring-cloud-config-server, Spring Cloud Config Server Susceptible To TOCTOU Attack, Expression injection in MilvusVectorStore doDelete allows data destruction가 포함된다.
