製品・ソフトウェアに関する情報

JVN脆弱性詳細

VMwareのspring for apache kafkaにおける信頼できないデータのデシリアライゼーションに関する脆弱性

Title	VMwareのspring for apache kafkaにおける信頼できないデータのデシリアライゼーションに関する脆弱性
Summary	JsonKafkaHeaderMapperおよび非推奨のDefaultKafkaHeaderMapperは、信頼されたパッケージに対してプレフィックスチェックを使用して型ヘッダーを照合していましたが、任意のパッケージを信頼すると、そのサブパッケージもすべて暗黙的に信頼される問題がありました。これがJacksonのデフォルトのビーンデシリアライズと組み合わさることで、プロデューサーが細工されたヘッダー値を供給し、コンシューマが任意のJDKタイプをデシリアライズしてしまう可能性がありました。影響を受けるバージョンは、Apache Kafka向けSpringの4.0.0から4.0.5、3.3.0から3.3.15、3.2.0から3.2.13、2.9.0から2.9.13、そして2.8.0から2.8.11です。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 10, 2026, midnight
Registration Date	June 23, 2026, 10 a.m.
Last Update	June 23, 2026, 10 a.m.

Affected System

VMware

spring for apache kafka 2.8.0 から 2.8.11

spring for apache kafka 2.9.0 から 2.9.13

spring for apache kafka 3.2.0 から 3.2.13

spring for apache kafka 3.3.0 から 3.3.15

spring for apache kafka 4.0.0 から 4.0.5

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-41731	https://www.cve.org/CVERecord?id=CVE-2026-41731
National Vulnerability Database (NVD)
2	CVE-2026-41731	https://nvd.nist.gov/vuln/detail/CVE-2026-41731
Spring Security Advisories
3	CVE-2026-41731: In Spring for Apache Kafka, overly broad trusted-package matching in header mappers exposes JDK classes to deserialization	https://spring.io/security/cve-2026-41731

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-502	https://cwe.mitre.org/data/definitions/502.html

Change Log

No	Changed Details	Date of change
1	[2026年06月23日] 掲載	June 23, 2026, 10 a.m.

NVD Vulnerability Information

CVE-2026-41731

Summary	JsonKafkaHeaderMapper and the deprecated DefaultKafkaHeaderMapper matched type headers against trusted packages using a prefix check, meaning that trusting any package implicitly trusted all of its subpackages. Combined with Jackson's default bean deserialization, a producer could supply crafted header values that caused the consumer to deserialize arbitrary JDK types. Affected versions: Spring for Apache Kafka 4.0.0 through 4.0.5; 3.3.0 through 3.3.15; 3.2.0 through 3.2.13; 2.9.0 through 2.9.13; 2.8.0 through 2.8.11.
Publication Date	June 10, 2026, 9:16 a.m.
Registration Date	June 11, 2026, 4:16 a.m.
Last Update	June 10, 2026, 9:16 a.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://spring.io/security/cve-2026-41731	security@vmware.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-502	信頼性のないデータのデシリアライゼーション	https://cwe.mitre.org/data/definitions/502.html