Spring SecurityとSpring WSがXSS・SSRF・XXE・BSP検証バイパスを含む複数の脆弱性を修正(CVE-2026-41003,CVE-2026-40999)他

2026年6月9日から11日にかけて、Springエコシステム全体で35件を超える脆弱性が一斉に公開されました。

この大規模なCVE開示は、Spring Security・Spring Web Services（Spring WS）・Spring Data・Spring Integration・Spring AMQP・Spring Web Flowなど主要コンポーネントの広範囲にわたります。

今回のうち特に注意が必要な4件は、企業のWebアプリケーションに直接的な影響を持つHIGH評価の脆弱性です。

CVE-2026-41003（Spring Security・HIGH）は、RelyingPartyRegistrationの値に影響を与えられる攻撃者が、Spring Securityフィルターが生成するHTMLフォームで任意スクリプトを実行できるXSS脆弱性です。

CVE-2026-40999（Spring WS・CVSS 8.6・HIGH）は、WS-AddressingのReplyToまたはFaultToヘッダーに含まれる未検証の宛先への外部接続が発生するSSRFです。CVE-2026-40998（Spring WS・CVSS 8.2・HIGH）は、XPathテンプレートでのXXEインジェクションであり、CVE-2026-40994（Spring WS・CVSS 8.2・HIGH）はWS-Security BSP（WS-I Basic Security Profileコンプライアンスフラグ）の検証が誤って無効化されるという問題です。Spring Securityの修正版は6.5.11（OSS）および7.0.6（OSS）です。

サマリー

• 公開日：2026年6月9日〜11日（spring.io/security一次確認）
• 対象コンポーネント：Spring Security・Spring WS・Spring Data・Spring Integration・Spring AMQP・Spring Web Flowなど
• 総CVE数：Springエコシステム全体で35件超（threat-modeling.com確認）
• 主要4件（HIGH）の概要：

• Spring Securityの修正版：
  • 6.5.11（OSS）・7.0.6（OSS）
  • 5.7.24・5.8.26・6.3.17・6.4.17（Enterprise Support Only）
• 積極的な悪用の報告：現時点ではなし
• CVE-2026-41003のCVSSベクトル：AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N（spring.io確認）

Spring Securityとは——なぜこのCVEが重要か

Spring SecurityはJavaベースのアプリケーションに認証・認可・セキュリティ保護機能を提供する、Springエコシステムの中核的なセキュリティフレームワークです。Webアプリケーション・マイクロサービス・OAuth2/OIDCを実装するAPIサーバー・エンタープライズシステムなど幅広く利用されており、日本国内でも金融機関・製造業・SIerのJavaシステムに深く根付いています。今回のCVEは認証フィルターや認証プロバイダー設定など、セキュリティの最重要部分に存在するため、パッチ未適用の影響が大きくなります。

CVE-2026-41003：Spring SecurityのHTMLフォームXSS（HIGH）

脆弱性の内容

spring.io公式アドバイザリによれば、「RelyingPartyRegistrationの値に影響を与えられる攻撃者が、Spring Securityフィルターによって生成されるHTMLフォームで任意コードを実行できる可能性がある」とされています。

これは**Reflected XSS（反射型クロスサイトスクリプティング）**の一種です。Spring SecurityがSAML 2.0やOAuth2/OIDCの認証フィルターでHTMLフォームを生成する際、RelyingPartyRegistrationの設定値を正しくHTMLエンコードせずに出力するため、その設定値を操作できる攻撃者が悪意あるJavaScriptを注入できます。

CVSSベクトル：AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N（spring.io確認）

• AV:N（ネットワーク経由）・AC:L（複雑さ低）・PR:L（権限あり）・UI:R（ユーザー操作必要）・S:C（スコープ変更）・C:H（機密性への影響高）

影響を受けるバージョンと修正版

旧バージョン（5.x・6.3.x・6.4.x）を使用している場合はEnterprise Support（Tanzu Spring）が必要です。6.5.xまたは7.0.xを使用している組織は無償のOSS版アップデートで対応できます。

CVE-2026-40999：Spring WSのSSRF（CVSS 8.6・HIGH）

脆弱性の内容

CVSSスコア8.6（AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N）というスコアが示す通り、この脆弱性は認証なしで悪用可能な深刻なSSRFです。

Spring WSがWS-Addressing（SOAPメッセージングの宛先を指定するヘッダー標準）を使用している場合、ReplyToまたはFaultToヘッダーに含まれる非匿名の宛先URLをフレームワークが検証なしに直接使用して外部接続を開始する問題です。

攻撃者はSOAPリクエストのWS-AddressingヘッダーにURLまたはIPアドレスを細工して注入することで、Spring WSサーバーに：

• 内部ネットワーク上のホスト（ファイアウォール内のサービス）への接続を強制
• クラウドインスタンスのメタデータエンドポイント（AWSの169.254.169.254等）へのアクセスを誘導
• ポートスキャンおよびネットワーク偵察

を行わせることができます。

CWE：CWE-918（SSRF）

CVE-2026-40998：Spring WSのXXE（CVSS 8.2・HIGH）

脆弱性の内容

Spring Web ServicesのJaxp13XPathTemplateクラスがStreamSourceおよびSAXSourceを使ったXPath評価時に、安全でないXMLパーサー設定を使用することに起因するXXEインジェクション脆弱性です。

外部XMLエンティティ（XXE）は、XMLパーサーが外部参照を解決する際に発生し、内部ファイルの読み取り・SSRFの誘発・サービス拒否（DoS）につながる可能性があります。SOAP Webサービスのエンドポイントで細工されたXMLリクエストを受け付ける環境が特に影響を受けます。

CVSSスコア：8.2（HIGH）

CVE-2026-40994：Wss4jSecurityInterceptorのBSP検証バイパス（CVSS 8.2・HIGH）

脆弱性の内容

Spring WSのWss4jSecurityInterceptorがBSP（WS-I Basic Security Profile）コンプライアンスフラグを、インバウンド検証時にWSS4JのBSP強制を無効化する形で初期化するという問題です。

これはsetBspCompliantセッターの文書化されたデフォルト動作およびWSS4J自体のセキュアなデフォルトに反します。BSP（WS-I Basic Security Profile）は、WS-Securityの安全な使用を保証するための相互運用性標準であり、非標準の署名形式や悪用されやすいWS-Securityの構成を排除するために存在します。

CVSSスコア：8.2（HIGH）

影響を受けるバージョン：Spring WS 2.4 〜 5.0.1

今回のSpring全体の大規模CVE開示——35件超

今回の4件はSpringエコシステム全体で同時開示されたCVE群の一部です。threat-modeling.comによれば「累積件数は現時点で35件以上」に達しており、以下のコンポーネントも影響を受けています。

対応手順

① 使用しているSpringバージョンの確認

# Maven
mvn dependency:tree | grep "spring-security"

# Gradle
gradle dependencies | grep "spring-security"

② Spring Security 6.5.11または7.0.6へのアップデート

Maven（pom.xml）:

<!-- Spring Boot 3.5.xを使用している場合（Spring Bootのバージョン管理を利用） -->
<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>3.5.x</version> <!-- Spring Boot 3.5対応版を確認 -->
</parent>

<!-- Spring Securityを直接指定する場合 -->
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-core</artifactId>
    <version>6.5.11</version>
</dependency>

Gradle（build.gradle）:

implementation 'org.springframework.security:spring-security-core:6.5.11'

③ Spring WSの対応

Spring WS（CVE-2026-40999・40998・40994）の修正版については、Spring WS 5.0.2以降またはspring.io/security/cve-2026-40999等の個別アドバイザリで確認してください。

④ 優先対応ポイント

SAMLを使用したシングルサインオン（SSO）環境：CVE-2026-41003（XSS）の影響を受ける可能性が最も高いです。RelyingPartyRegistrationの設定を持つすべてのアプリケーションを優先してアップデートしてください。

SOAP Webサービスを提供している環境：Spring WS（CVE-2026-40999・40998・40994）の影響を確認し、Spring WS 5.0.2以降へのアップデートを実施してください。WS-Addressingを有効にしているサービスはCVE-2026-40999（SSRF・CVSS 8.6）のリスクが特に高くなります。

Spring Data・AMQPを使用している環境：CVE-2026-41695（Spring Data Commons DoS・HIGH）・CVE-2026-41701（Spring AMQP返信ポイズニング・MEDIUM）も同時に対処してください。

参考情報（一次ソース）

• spring.io「Security Advisories」（2026年6月9〜11日付・35件超）
• spring.io「CVE-2026-41003: Unencoded HTML Outputs in Spring Security May Allow Cross-Site Scripting」 ←
• Vulnerability-Lookup「CVE-2026-40999」（CVSS 8.6・CWE-918）
• HeroDevs「CVE-2026-40998」（XXE in Spring WS・CVSS 8.2）
• HeroDevs「CVE-2026-40994」（BSP bypass・CVSS 8.2）
• 当サイト関連：Apache CXF 4.2.2/4.1.7が7件の脆弱性を修正——同時期に発覚したJavaエンタープライズフレームワークの脆弱性群
• 当サイト関連：ServiceNow認証なしAPIエンドポイント悪用——SaaSプラットフォームへの不正アクセスリスクとの比較
• 当サイト関連：サイバー攻撃・情報漏えい最新事例まとめ2026

関連記事

Check Point VPNの認証回避 脆弱性-サイバー攻撃への悪用 確認(CVE-2026-50751) GitHubの内部リポジトリへの不正アクセス、VS Code 拡張機能から侵害される エプスタインの情報漏洩と関連する日本人のまとめ-エプスタイン文書では松本 大氏や伊藤 穰一氏、林 千晶氏のアテンド記録も Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見 山田ボデー工業所、メールシステム用サーバーへの不正アクセスを公表 オンラインコード/JSON 整形ツールに貼り付けた機密情報が世界に晒されている-秘密鍵や個人情報など大量に漏洩 ChatGPTにロックダウンモード、プロンプトインジェクションによるデータ持ち出しリスクを低減 はいチーズ！フォトへ不正アクセス、個人情報漏洩の恐れ SonicWall(ソニックウォール)、不正アクセスで全クラウドバックアップ 顧客のファイアウォール 設定が盗まれる

投稿者：三村

セキュリティ製品を手がける上場企業にて、SOC（セキュリティオペレーションセンター）運営およびWebアプリケーション脆弱性診断の営業に8年間従事。その後、システムエンジニアへ転身し、MDMや人事系SaaSの開発に携わる。
8年の実務経験と開発者としての知見を活かし、「セキュリティ対策Lab」ではダークウェブ調査、セキュリティインシデントの分析、および高度なセキュリティ対策解説の執筆・編集を統括しています。
LinkedIn(外部サイト)