Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Validación insuficiente de metadatos en productos de Spring

Fecha de publicación 22/04/2026
Identificador
INCIBE-2026-303
Importancia
5 - Crítica
Recursos Afectados
  • Spring Security:
    • 7.0.0 - 7.0.4
  • Spring Authorization Server:
    • 1.3.0 - 1.3.10
    • 1.4.0 - 1.4.9
    • 1.5.0 - 1.5.6
Descripción

Kelvin Mbogo ha informado de una vulnerabilidad de severidad crítica que afecta a los puntos de conexión de registro dinámico de clientes (Dynamic Client Registration endpoints) en Spring Security Authorization Server. La explotación de esta vulnerabilidad podría permitir a un atacante ejecutar un ataque Cross-Site Scripting (XSS) o escalar privilegios

Solución

Los usuarios de las versiones afectadas deben actualizar a la versión corregida correspondiente:

  • 7.0.x: actualizar a la versión 7.0.5;
  • 1.3.x: actualizar a la versión1.3.11;
  • 1.4.x: actualizar a la versión 1.4.10;
  • 1.5.x: actualizar a la versión 1.5.7.
Detalle

CVE-2026-22752: un atacante que posea un token de acceso inicial (Initial Access Token) válido, podría registrar dinámicamente un cliente malicioso utilizando metadatos manipulados. Dependiendo de los metadatos proporcionados y de la configuración del servidor de autorización, esto podría derivar en ataques de scripts de sitios cruzados persistentes (XSS persistente), escalada de privilegios o falsificación de solicitudes del lado del servidor (SSRF).

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-22752 Crítica No Spring
Listado de referencias
CVE-2026-22752: Spring Security Authorization Server Dynamic Client Registration endpoints perform insufficient validation of client metadata
Etiquetas