Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Exposición de datos sensibles en Spring

Fecha de publicación 20/03/2026
Identificador
INCIBE-2026-207
Importancia
5 - Crítica
Recursos Afectados

Las siguientes versiones de Spring Security:

  • 5.7.0 hasta 5.7.21;
  • 5.8.0 hasta 5.8.23;
  • 6.3.0 hasta 6.3.14;
  • 6.4.0 hasta 6.4.14;
  • 6.5.0 hasta 6.5.8;
  • 7.0.0 hasta 7.0.3;
  • Es posible que versiones más antiguas sin soporte también se vean afectadas.
Descripción

Wyfrel ha informado de una vulnerabilidad de severidad crítica que podría permitir realizar diversos ataques en el dispositivo afectado, entre ellos, la exposición de información sensible.

Solución

Actualizar el producto a alguna de las siguientes versiones:

  • 5.7.22;
  • 5.8.24;
  • 6.3.15;
  • 6.4.15;
  • 6.5.9;
  • 7.0.4.
Detalle

CVE-2026-22732: cuando las aplicaciones especifican encabezados de respuesta HTTP para aplicaciones de servlets que utilizan Spring Security, puede darse el caso de que no se escriban los encabezados. Esto puede exponer las aplicaciones a diversos ataques, entre ellos la divulgación de datos confidenciales mediante los mecanismos de almacenamiento en caché.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-22732 Crítica No Spring Security
Listado de referencias
Spring - cve-2026-22732: Under Some Conditions Spring Security HTTP Headers Are not Written
Etiquetas