製品・ソフトウェアに関する情報

JVN脆弱性詳細

Thymeleafにおける複数の脆弱性

Title	Thymeleafにおける複数の脆弱性
Summary	Thymeleafは、ウェブおよびスタンドアロン環境向けのサーバーサイドJavaテンプレートエンジンです。バージョン3.1.3.RELEASE以前には、式の実行メカニズムにセキュリティバイパスの脆弱性が含まれていました。このライブラリは式インジェクションを防ぐためのメカニズムを提供していますが、アクセス可能なオブジェクトの範囲を適切に制限できておらず、テンプレート内から特定の潜在的に機密性の高いオブジェクトに到達できてしまいます。アプリケーション開発者が未検証のユーザー入力をテンプレートエンジンに直接渡した場合、認証されていないリモート攻撃者がライブラリの保護を回避してサーバーサイドテンプレートインジェクション（SSTI）を実行する可能性があります。この問題はバージョン3.1.4.RELEASEで修正されています。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 17, 2026, midnight
Registration Date	April 27, 2026, 10:48 a.m.
Last Update	April 27, 2026, 10:48 a.m.

CVSS3.0 : 緊急
Score	9
Vector	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

Affected System

Thymeleaf

Thymeleaf 3.1.4 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-40477	https://www.cve.org/CVERecord?id=CVE-2026-40477
National Vulnerability Database (NVD)
2	CVE-2026-40477	https://nvd.nist.gov/vuln/detail/CVE-2026-40477

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-1336	https://cwe.mitre.org/data/definitions/1336.html
2	CWE-917	https://cwe.mitre.org/data/definitions/917.html

ベンダー情報

No	Name	URL
GitHub
1	Improper restriction of the scope of accessible objects in Thymeleaf expressions Advisory thymeleaf/thymeleaf GitHub	https://github.com/thymeleaf/thymeleaf/security/advisories/GHSA-r4v4-5mwr-2fwr

Change Log

No	Changed Details	Date of change
1	[2026年04月27日] 掲載	April 27, 2026, 10:48 a.m.

NVD Vulnerability Information

CVE-2026-40477

Summary	Thymeleaf is a server-side Java template engine for web and standalone environments. Versions 3.1.3.RELEASE and prior contain a security bypass vulnerability in the expression execution mechanisms. Although the library provides mechanisms to prevent expression injection, it fails to properly restrict the scope of accessible objects, allowing specific potentially sensitive objects to be reached from within a template. If an application developer passes unvalidated user input directly to the template engine, an unauthenticated remote attacker can bypass the library's protections to achieve Server-Side Template Injection (SSTI). This issue has ben fixed in version 3.1.4.RELEASE.
Publication Date	April 18, 2026, 7:16 a.m.
Registration Date	April 19, 2026, 4:08 a.m.
Last Update	April 25, 2026, 1:58 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:thymeleaf:thymeleaf::::::::					3.1.4

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/thymeleaf/thymeleaf/security/advisories/GHSA-r4v4-5mwr-2fwr	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-917	言語構文の表現に使用される特殊な要素の不適切な無効化	https://cwe.mitre.org/data/definitions/917.html
2	CWE-1336	テンプレートエンジンで使用される特殊な要素の不適切な無効化	https://cwe.mitre.org/data/definitions/1336.html