CVE-2026-40975 in Spring Bootinformation

Résumé

par VulDB • 21/05/2026

Les valeurs produites par ${random.value} ne sont pas adaptées à une utilisation en tant que secrets. ${random.uuid} n'est pas concerné. ${random.int} et ${random.long} ne doivent jamais être utilisés pour des secrets, car il s'agit de valeurs numériques dont la plage est prévisible.

Versions concernées : Spring Boot 4.0.0–4.0.5 (correctif 4.0.6), 3.5.0–3.5.13 (correctif 3.5.14), 3.4.0–3.4.15 (correctif 3.4.16), 3.3.0–3.3.18 (correctif 3.3.19), 2.7.0–2.7.32 (correctif 2.7.33) ; source de propriété de valeur aléatoire / générateur de nombres pseudo-aléatoires faible (weak PRNG) pour les secrets. Les versions qui ne sont plus prises en charge sont également concernées selon l'avis du fournisseur.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Vmware

Réserver

16/04/2026

Divulgation

28/04/2026

Modérer

accepté

Entrée

VDB-359890

CPE

prêt

EPSS

0.00056

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40975
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40975
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40975/

PrécédentAperçuSuivant

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!