製品・ソフトウェアに関する情報

JVN脆弱性詳細

VMwareのSpring Frameworkにおける重要な情報を含むキャッシュの使用に関する脆弱性

Title	VMwareのSpring Frameworkにおける重要な情報を含むキャッシュの使用に関する脆弱性
Summary	Spring MVCおよびWebFluxアプリケーションは、静的リソースを解決する際に情報漏洩攻撃に対して脆弱性があります。影響を受けるバージョンは、Spring Frameworkの7.0.0から7.0.7、6.2.0から6.2.18、6.1.0から6.1.27、および5.3.0から5.3.48です。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 9, 2026, midnight
Registration Date	June 10, 2026, 2:28 p.m.
Last Update	June 10, 2026, 2:28 p.m.

Affected System

VMware

Spring Framework 5.3.0 以上 5.3.49 未満

Spring Framework 6.1.0 以上 6.1.28 未満

Spring Framework 6.2.0 以上 6.2.19 未満

Spring Framework 7.0.0 以上 7.0.8 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-41841	https://www.cve.org/CVERecord?id=CVE-2026-41841
National Vulnerability Database (NVD)
2	CVE-2026-41841	https://nvd.nist.gov/vuln/detail/CVE-2026-41841
Spring Security Advisories
3	CVE-2026-41841: Spring Framework Information Disclosure via Static Resource Cache in Spring MVC and WebFlux	https://spring.io/security/cve-2026-41841

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-524	https://cwe.mitre.org/data/definitions/524.html

Change Log

No	Changed Details	Date of change
1	[2026年06月10日] 掲載	June 10, 2026, 2:28 p.m.

NVD Vulnerability Information

CVE-2026-41841

Summary	Spring MVC and WebFlux applications are vulnerable to Information Disclosure attacks when resolving static resources. Affected versions: Spring Framework 7.0.0 through 7.0.7; 6.2.0 through 6.2.18; 6.1.0 through 6.1.27; 5.3.0 through 5.3.48.
Publication Date	June 9, 2026, 2:16 p.m.
Registration Date	June 10, 2026, 4:14 a.m.
Last Update	June 9, 2026, 10:49 p.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://spring.io/security/cve-2026-41841	security@vmware.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-524	重要な情報を含むキャッシュの使用	https://cwe.mitre.org/data/definitions/524.html