CVE-2026-41002
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
07/05/2026
Última modificación:
12/05/2026
Descripción
*** Pendiente de traducción *** The base directory (`spring.cloud.config.server.git.basedir`) used by the Spring Cloud Config Server to clone Git repositories to is susceptible to time-of-check-time-of-use (TOCTOU) attacks.<br />
Spring Cloud Config 3.1.x: affected from 3.1.0 through 3.1.13 (inclusive); upgrade to 3.1.14 or greater (Enterprise Support Only). Spring Cloud Config 4.1.x: affected from 4.1.0 through 4.1.9 (inclusive); upgrade to 4.1.10 or greater (Enterprise Support Only). Spring Cloud Config 4.2.x: affected from 4.2.0 through 4.2.6 (inclusive); upgrade to 4.2.7 or greater (Enterprise Support Only). Spring Cloud Config 4.3.x: affected from 4.3.0 through 4.3.2 (inclusive); upgrade to 4.3.3 or greater. Spring Cloud Config 5.0.x: affected from 5.0.0 through 5.0.2 (inclusive); upgrade to 5.0.3 or greater.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:vmware:spring_cloud_config:*:*:*:*:*:*:*:* | 3.1.0 (incluyendo) | 3.1.14 (excluyendo) |
| cpe:2.3:a:vmware:spring_cloud_config:*:*:*:*:*:*:*:* | 4.1.0 (incluyendo) | 4.1.10 (excluyendo) |
| cpe:2.3:a:vmware:spring_cloud_config:*:*:*:*:*:*:*:* | 4.2.0 (incluyendo) | 4.2.7 (excluyendo) |
| cpe:2.3:a:vmware:spring_cloud_config:*:*:*:*:*:*:*:* | 4.3.0 (incluyendo) | 4.3.3 (excluyendo) |
| cpe:2.3:a:vmware:spring_cloud_config:*:*:*:*:*:*:*:* | 5.0.0 (incluyendo) | 5.0.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página