개요
Spring 제품에서 취약점을 해결하는 보안 업데이트가 발표되었다. 해당 취약점은 Spring Statemachine의 역직렬화(deserialization, 저장된 데이터를 다시 객체로 변환하는 과정) 취약점인 CVE-2026-41862이다.
영향받는 제품
- Spring Statemachine 4.0.0 이상 4.0.1 이하.
- Spring Statemachine 3.2.0 이상 3.2.4 이하.
해결 버전
- Spring Statemachine 4.0.2.
- Spring Statemachine 4.0.1.1.
- Spring Statemachine 3.2.5.
참고
- 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트해야 한다.
- CVE-2026-41862는 Kryo deserialization of persisted context without class allowlist로 안내되었다.