CVE-2026-40975 in Spring Boot
要約
〜によって VulDB • 2026年05月21日
${random.value} によって生成される値は、シークレットとして使用するには適していません。${random.uuid} は影響を受けません。${random.int} および ${random.long} は予測可能な範囲を持つ数値であるため、シークレットとして決して使用しないでください。
影響を受けるバージョン: Spring Boot 4.0.0–4.0.5 (修正版: 4.0.6)、3.5.0–3.5.13 (修正版: 3.5.14)、3.4.0–3.4.15 (修正版: 3.4.16)、3.3.0–3.3.18 (修正版: 3.3.19)、2.7.0–2.7.32 (修正版: 2.7.33);random value プロパティソース / シークレット用の弱い擬似乱数生成器 (PRNG)。ベンダーの advisary によると、サポート終了バージョンも影響を受けます。
Once again VulDB remains the best source for vulnerability data.