リモートホストにインストールされている Spring Framework のバージョンは、5.3.48 より前の 5.3.x、6.1.27 より前の 6.1.x、6.2.18 より前の 6.2.x、または 7.0.7 より前の 7.0.x です。そのため、以下の複数の脆弱性の影響を受けます。

  - マルチパートのリクエストを処理する WebFlux サーバーアプリケーションは、10K を超えるパーツに対して一時ファイルを作成します。状況によっては、リクエストが完全に処理された後も一時ファイルが削除されないままになり、攻撃者が利用可能なディスク領域を消費する可能性があります。(CVE-2026-22740)

  - Spring MVC および WebFlux アプリケーションは、キャッシュ機能およびエンコード済みリソース解決が有効になっている静的リソースの解決処理においてキャッシュポイズニングの脆弱性が存在します。攻撃者が、誤ったエンコーディングを使用するリソースでリソースキャッシュをポイズニングし、サービス拒否を引き起こす可能性があります。(CVE-2026-22741)

  - Spring MVC および WebFlux アプリケーションは、Windows プラットフォーム上のファイルシステムからの静的リソースを解決する際に、DoS 攻撃 (サービス拒否攻撃) に対して脆弱です。攻撃者は、解決に時間がかかり、HTTP 接続を使い続けることができる悪意のあるリクエストを送信する可能性があります。(CVE-2026-22745)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Spring Framework 5.3.x < 5.3.48 / 6.1.x < 6.1.27 / 6.2.x < 6.2.18 / 7.0.x < 7.0.7 複数の DoS

medium Nessus プラグイン ID 314917

バージョン 1.2