Springは2026年4月23日、Spring Bootの重大な脆弱性 CVE-2026-40976 を公表しました。内容は、特定条件下でデフォルトのWebセキュリティが有効に機能せず、アプリケーションの全エンドポイントに未認証でアクセスできるようになる問題です。Springは深刻度を Critical とし、修正版として Spring Boot 4.0.6 への更新を案内しています。
何が起きたか
一次情報のアドバイザリによると、問題は Spring Boot の default web security filter chain に認可ルールが入らないケースがあることに起因します。その結果、本来は保護されるべきエンドポイント群に対して、認証なしで到達できる状態になります。これはリモートコード実行ではなく認可回避ですが、アプリケーション全体の公開範囲を誤って広げるため、公開APIや管理系エンドポイントの露出につながり得る点で影響は大きいといえます。
影響を受ける条件
Springが示している成立条件は明確です。脆弱になるのは、サーブレットベースのWebアプリケーションであり、独自の Spring Security 設定を持たずデフォルトのWebセキュリティに依存していて、さらに spring-boot-actuator-autoconfigure に依存しつつ spring-boot-health には依存していない場合です。Springは、この条件のいずれか1つでも当てはまらなければ脆弱ではないと説明しています。
対象バージョン
影響を受けるのは Spring Boot 4.0.0 から 4.0.5 までです。
修正版は 4.0.6 です。
原因
原因は、Actuator を含む特定の依存関係の組み合わせで、デフォルトのセキュリティフィルタチェーンに認可ルールが入らないことです。Springの説明では、これにより default web security が ineffective になり、全エンドポイントへの unauthorized access を許してしまいます。つまり、認証基盤そのものが壊れるというより、デフォルト保護に頼った設計で認可判定が抜け落ちる構造上の問題です。
対策
Springは回避策を特に示しておらず、影響を受ける環境では対応版へ更新するよう案内しています。修正版は 4.0.6 で、アドバイザリでは 追加の緩和策は不要 とされています。したがって、実務上はまず Spring Boot のバージョン確認を行い、4.0.0 から 4.0.5 を使っている場合は 4.0.6 へ更新するのが基本対応です。
関連記事
Java Spring AIにSQLインジェクションとJSONPathインジェクションの脆弱性(CVE-2026-22730、CVE-2026-22729)
Spring Securityに認証バイパスの脆弱性、特定条件でプライベートメソッドが無防備に
Javaの人気フレームワークSpring Frameworkで重大な脆弱性(CVE-2024-38816)
Microsoft、自社のAI アシスタントで複数の脆弱性を発見
Spring FrameworkのRFD 脆弱性-想定外のファイルダウンロードに要注意
-200x200.png)
Spring SecurityとFrameworkで注釈解決不備で認可回避の脆弱性(CVE-2025-41248/41249)
WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)
認証プラットフォームのClerkで@clerk/nextjs などでミドルウェア認可を迂回する重大な脆弱性
Microsoft、Windows 10で緊急アップデート公開—ESU登録不具合を修正(KB5071959)
