CVE-2026-22732
CriticalSummary
W aplikacjach korzystających z Spring Security istnieje problem z zapisywaniem nagłówków HTTP w odpowiedziach serwletów. Dotyczy to aplikacji, które używają leniwego zapisywania nagłówków HTTP w wersjach od 5.7.0 do 5.7.21, od 5.8.0 do 5.8.23, od 6.3.0 do 6.3.14, od 6.4.0 do 6.4.14, od 6.5.0 do 6.5.8 oraz od 7.0.0 do 7.0.3.
Risk Assessment
Brak zapisywania nagłówków HTTP może prowadzić do nieprawidłowego działania aplikacji oraz potencjalnych luk w zabezpieczeniach, co może wpłynąć na integralność i poufność danych przesyłanych przez aplikację.
Recommendation
Zaleca się aktualizację do najnowszej wersji Spring Security, aby zapewnić prawidłowe zapisywanie nagłówków HTTP oraz zminimalizować ryzyko związane z tą podatnością.
Original NVD description (English source)
When applications specify HTTP response headers for servlet applications using Spring Security, there is the possibility that the HTTP Headers will not be written. This issue affects Spring Security Servlet applications using lazy (default) writing of HTTP Headers: : from 5.7.0 through 5.7.21, from 5.8.0 through 5.8.23, from 6.3.0 through 6.3.14, from 6.4.0 through 6.4.14, from 6.5.0 through 6.5.8, from 7.0.0 through 7.0.3.

