製品・ソフトウェアに関する情報

Vulnerability Search

ベンダー検索

Product/Service Search

JVN Vulnerability Search Top

->

JVN脆弱性詳細

VMwareのSpring Frameworkにおけるリソースのロックに関する脆弱性

Title	VMwareのSpring Frameworkにおけるリソースのロックに関する脆弱性
Summary	Spring MVCおよびWebFluxアプリケーションは、サーバー送信イベント（SSE）を使用する際にストリームの破損の影響を受けやすい問題があります。この問題は、Spring Frameworkのバージョン7.0.0から7.0.5まで、6.2.0から6.2.16まで、6.1.0から6.1.25まで、5.3.0から5.3.46までのバージョンに影響します。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	March 20, 2026, midnight
Registration Date	April 24, 2026, 11:33 a.m.
Last Update	April 24, 2026, 11:33 a.m.

CVSS3.0 : 低
Score	2.6
Vector	CVSS:3.0/AV:N/AC:H/PR:L/UI:R/S:U/C:N/I:L/A:N

Affected System

VMware

Spring Framework 5.3.47 未満

Spring Framework 6.1.0 以上 6.1.26 未満

Spring Framework 6.2.0 以上 6.2.17 未満

Spring Framework 7.0.0 以上 7.0.6 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-22735	https://www.cve.org/CVERecord?id=CVE-2026-22735
National Vulnerability Database (NVD)
2	CVE-2026-22735	https://nvd.nist.gov/vuln/detail/CVE-2026-22735
Spring Security Advisories
3	CVE-2026-22735: Server Sent Event stream corruption	https://spring.io/security/cve-2026-22735

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-667	http://cwe.mitre.org/data/definitions/667.html

Change Log

No	Changed Details	Date of change
1	[2026年04月24日] 掲載	April 24, 2026, 11:33 a.m.

NVD Vulnerability Information

CVE-2026-22735

Summary	Spring MVC and WebFlux applications are vulnerable to stream corruption when using Server-Sent Events (SSE). This issue affects Spring Foundation: from 7.0.0 through 7.0.5, from 6.2.0 through 6.2.16, from 6.1.0 through 6.1.25, from 5.3.0 through 5.3.46.
Summary	Las aplicaciones Spring MVC y WebFlux son vulnerables a la corrupción de flujo al usar Eventos Enviados por el Servidor (SSE). Este problema afecta a Spring Foundation: desde 7.0.0 hasta 7.0.5, desde 6.2.0 hasta 6.2.16, desde 6.1.0 hasta 6.1.25, desde 5.3.0 hasta 5.3.46.
Publication Date	March 20, 2026, 9:16 a.m.
Registration Date	April 27, 2026, 12:17 p.m.
Last Update	April 23, 2026, 11:21 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:vmware:spring_framework::::::::					5.3.47
cpe:2.3:a:vmware:spring_framework::::::::		6.1.0			6.1.26
cpe:2.3:a:vmware:spring_framework::::::::		6.2.0			6.2.17
cpe:2.3:a:vmware:spring_framework::::::::		7.0.0			7.0.6

Related information, measures and tools

No	URL	refsource	タグ
1	https://spring.io/security/cve-2026-22735	security@vmware.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-667	不適切なロック	https://cwe.mitre.org/data/definitions/667.html