製品・ソフトウェアに関する情報

JVN脆弱性詳細

VMwareのSpring FrameworkにおけるHTTP リクエストスマグリングに関する脆弱性

Title	VMwareのSpring FrameworkにおけるHTTP リクエストスマグリングに関する脆弱性
Summary	Spring MVCおよびWebFluxアプリケーションには、マルチパートリクエストスマグリング攻撃の脆弱性があります。影響を受けるバージョンは、Spring Frameworkの7.0.0から7.0.7、6.2.0から6.2.18、6.1.0から6.1.27、および5.3.0から5.3.48までです。
Possible impacts	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 9, 2026, midnight
Registration Date	June 16, 2026, 1:38 p.m.
Last Update	June 16, 2026, 1:38 p.m.

Affected System

VMware

Spring Framework 5.3.0 以上 5.3.49 未満

Spring Framework 6.1.0 以上 6.1.28 未満

Spring Framework 6.2.0 以上 6.2.19 未満

Spring Framework 7.0.0 以上 7.0.8 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-41853	https://www.cve.org/CVERecord?id=CVE-2026-41853
National Vulnerability Database (NVD)
2	CVE-2026-41853	https://nvd.nist.gov/vuln/detail/CVE-2026-41853
Spring Security Advisories
3	CVE-2026-41853: Spring Framework Multipart Request Smuggling in Spring MVC and WebFlux	https://spring.io/security/cve-2026-41853

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-444	https://cwe.mitre.org/data/definitions/444.html

Change Log

No	Changed Details	Date of change
1	[2026年06月16日] 掲載	June 16, 2026, 1:38 p.m.

NVD Vulnerability Information

CVE-2026-41853

Summary	Spring MVC and WebFlux applications are vulnerable to Multipart request smuggling attacks. Affected versions: Spring Framework 7.0.0 through 7.0.7; 6.2.0 through 6.2.18; 6.1.0 through 6.1.27; 5.3.0 through 5.3.48.
Publication Date	June 9, 2026, 2:16 p.m.
Registration Date	June 10, 2026, 4:14 a.m.
Last Update	June 9, 2026, 10:49 p.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://spring.io/security/cve-2026-41853	security@vmware.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-444	HTTP リクエストスマグリング	https://cwe.mitre.org/data/definitions/444.html