Os invasores podem explorar várias vulnerabilidades no VMware Tanzu Spring Boot e, na pior das hipóteses, comprometê-lo completamente. Atualizações de segurança estão disponíveis. Atualmente não há relatos do fabricante do software de que invasores tenham explorado a brecha.
Leia mais depois do anúncio
O acesso não autorizado é possível
O desenvolvedor garante que as questões de segurança no Edição 3.5.14 e 4.0.6 foi resolvido. Eles também apontam que versões não suportadas também são vulneráveis. Neste ponto, os administradores devem atualizar para uma versão que ainda seja compatível.
Um total de nove vulnerabilidades foram fechadas. Conforme indicado pelo alerta, um (CVE-2026-40976) com nível de ameaça de “crítico“Classificado. Como a autenticação não é confiável, os invasores podem acessar todos os terminais.
Para que o ataque funcione, diversas condições listadas na mensagem de aviso devem ser atendidas. Por exemplo, deve ser um aplicativo da web baseado em servlet. Ainda não está claro como o ataque foi realizado em detalhes.
Mais perigo
Além disso, os invasores podem, entre outras coisas, executar códigos maliciosos (CVE-2026-40972 “esse“) ou causar uma conexão com um host malicioso (CVE-2026-40974 “médio“).
Os administradores podem encontrar mais informações sobre vulnerabilidades de software fechadas e versões ameaçadas na mensagem de aviso vinculada. Lista ordenada por nível de ameaça:
Leia mais depois do anúncio
Recentemente, os desenvolvedores fecharam várias falhas de segurança no VMware Tanzu Spring Security.
(de)
