Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Ausencia de reglas de autorización en Boot de Spring

Fecha de publicación 24/04/2026
Identificador
INCIBE-2026-310
Importancia
5 - Crítica
Recursos Afectados

Spring Boot: de la versión 4.0.0 a la versión 4.0.5.

Descripción

Spring ha publicado una vulnerabilidad de severidad crítica que encaso de ser explotada, podría permitir el acceso no autorizado a todos los endpoints.

Solución

Actualizar a la versión 4.0.6.

Detalle

CVE-2026-40976: en determinadas circunstancias, la seguridad web predeterminada de Spring Boot resulta ineficaz, permitiendo el acceso no autorizado a todos los puntos finales. Para que una aplicación sea vulnerable, debe cumplir los siguientes requisitos:

  • ser una aplicación web basada en servlets;
  • no tienen configuración propia de Spring Security y dependen de la cadena de filtros de seguridad web predeterminada.
    depende de spring-boot-actuator-autoconfigure;
  • no depender de spring-boot-health.

Si no se cumple ninguna de las condiciones anteriores, la aplicación no es vulnerable.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-40976 Crítica No Spring
Listado de referencias
CVE-2026-40976: Default security filter chain has no authorization rule with Actuator but without Health
Etiquetas