製品・ソフトウェアに関する情報

JVN脆弱性詳細

Thymeleafにおける複数の脆弱性

Title	Thymeleafにおける複数の脆弱性
Summary	Thymeleafは、ウェブおよびスタンドアロン環境向けのサーバーサイドJavaテンプレートエンジンです。バージョン3.1.3.RELEASEおよびそれ以前には、式実行機構におけるセキュリティバイパスの脆弱性が存在していました。このライブラリは式のインジェクションを防止する機構を提供していますが、不正な式の実行を許す特定の構文パターンを適切に無効化できていません。アプリケーション開発者が無検証のユーザー入力をテンプレートエンジンに直接渡した場合、認証されていないリモート攻撃者がライブラリの保護を回避して、サーバーサイドテンプレートインジェクション（SSTI）を実行する可能性があります。この問題はバージョン3.1.4.RELEASEで修正されています。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 17, 2026, midnight
Registration Date	April 27, 2026, 10:47 a.m.
Last Update	April 27, 2026, 10:47 a.m.

CVSS3.0 : 緊急
Score	9
Vector	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

Affected System

Thymeleaf

Thymeleaf 3.1.4 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-40478	https://www.cve.org/CVERecord?id=CVE-2026-40478
National Vulnerability Database (NVD)
2	CVE-2026-40478	https://nvd.nist.gov/vuln/detail/CVE-2026-40478

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-1336	https://cwe.mitre.org/data/definitions/1336.html
2	CWE-917	https://cwe.mitre.org/data/definitions/917.html

ベンダー情報

No	Name	URL
GitHub
1	Improper neutralization of specific syntax patterns for unauthorized expressions in Thymeleaf Advisory thymeleaf/thymeleaf GitHub	https://github.com/thymeleaf/thymeleaf/security/advisories/GHSA-xjw8-8c5c-9r79

Change Log

No	Changed Details	Date of change
1	[2026年04月27日] 掲載	April 27, 2026, 10:47 a.m.

NVD Vulnerability Information

CVE-2026-40478

Summary	Thymeleaf is a server-side Java template engine for web and standalone environments. Versions 3.1.3.RELEASE and prior contain a security bypass vulnerability in the the expression execution mechanisms. Although the library provides mechanisms to prevent expression injection, it fails to properly neutralize specific syntax patterns that allow for the execution of unauthorized expressions. If an application developer passes unvalidated user input directly to the template engine, an unauthenticated remote attacker can bypass the library's protections to achieve Server-Side Template Injection (SSTI). This issue has ben fixed in version 3.1.4.RELEASE.
Publication Date	April 18, 2026, 7:16 a.m.
Registration Date	April 19, 2026, 4:08 a.m.
Last Update	April 25, 2026, 1:58 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:thymeleaf:thymeleaf::::::::					3.1.4

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/thymeleaf/thymeleaf/security/advisories/GHSA-xjw8-8c5c-9r79	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-917	言語構文の表現に使用される特殊な要素の不適切な無効化	https://cwe.mitre.org/data/definitions/917.html
2	CWE-1336	テンプレートエンジンで使用される特殊な要素の不適切な無効化	https://cwe.mitre.org/data/definitions/1336.html