Spring Boot 4 Security in 2026: CVE-2026-40976 Total Auth Bypass, CVE-2026-22752 OAuth2 SSRF & Spring Security 7.0 Migration GuideSécurité Spring Boot 4 en 2026 : CVE-2026-40976 Bypass Auth Total, CVE-2026-22752 SSRF OAuth2 & Guide Migration Spring Security 7.0

In March and April 2026, the Spring ecosystem published 30 CVEs in just two months — nearly double the 17 vulnerabilities disclosed in all of 2025. Among them are two critical flaws that demand immediate attention: CVE-2026-40976 (CVSS 9.1), which silently disables authentication for every endpoint in a specific Spring Boot 4 configuration, and CVE-2026-22752 (CVSS 9.6), which turns Spring Authorization Server's Dynamic Client Registration into a vector for stored XSS, privilege escalation, and SSRF. Meanwhile, Spring Boot 3.5 reaches end-of-life on June 30, 2026 — in 18 days. This guide covers both CVEs in depth and provides a security-focused Spring Boot 4 / Spring Security 7.0 migration checklist.

En mars et avril 2026, l’écosystème Spring a publié 30 CVE en deux mois seulement — près du double des 17 vulnérabilités divulguées sur toute l’année 2025. Parmi elles, deux failles critiques exigent une attention immédiate : CVE-2026-40976 (CVSS 9.1), qui désactive silencieusement l’authentification pour tous les endpoints dans une configuration Spring Boot 4 spécifique, et CVE-2026-22752 (CVSS 9.6), qui transforme le Dynamic Client Registration de Spring Authorization Server en vecteur de XSS stocké, d’élévation de privilèges et de SSRF. Pendant ce temps, Spring Boot 3.5 atteint sa fin de vie le 30 juin 2026 — dans 18 jours. Ce guide couvre les deux CVE en profondeur et fournit une checklist de migration Spring Boot 4 / Spring Security 7.0 orientée sécurité.

The Spring CVE Surge of 2026: Why Is This Happening Now?

La vague de CVE Spring 2026 : pourquoi maintenant ?

The 30 CVEs published in March–April 2026 break down as 4 Critical, 10 High, 13 Medium, and 3 Low severity ratings. That is 4× as many Critical and 5× as many High-severity CVEs in two months as the Spring ecosystem produced in all of 2025 (17 total). The root cause is not a single architectural flaw — it is a shift in research tooling. AI-assisted vulnerability scanners have dramatically lowered the activation energy required to find real bugs in mature Java frameworks. In early 2026, 55 new security reports were submitted by the community in a single month, leading to 26 new CVE assignments in April alone.

Les 30 CVE publiées en mars–avril 2026 se répartissent en 4 Critiques, 10 Hautes, 13 Médiums et 3 Faibles. C’est 4× plus de CVE Critiques et 5× plus de CVE Hautes en deux mois que l’écosystème Spring n’en avait produit sur toute l’année 2025 (17 au total). La cause profonde n’est pas une faille architecturale unique — c’est l’évolution des outils de recherche. Les scanners de vulnérabilités assistés par IA ont considérablement abaissé le seuil pour trouver de vraies vulnérabilités dans les frameworks Java matures. Début 2026, 55 nouveaux rapports de sécurité ont été soumis par la communauté en un seul mois, aboutissant à 26 nouvelles attributions de CVE en avril.

The implication for teams: the backlog of historic Spring vulnerabilities is being rapidly surface. If you have not audited your Spring dependency versions since Q1 2026, assume you are running code with at least one unpatched High or Critical CVE.

L’implication pour les équipes : le backlog de vulnérabilités Spring historiques est rapidement mis en lumière. Si vous n’avez pas audité vos versions de dépendances Spring depuis le T1 2026, partez du principe que vous exécutez du code avec au moins une CVE Haute ou Critique non patchée.

CVE-2026-40976 (CVSS 9.1): Spring Boot 4 Default Security Filter Chain — Total Authentication Bypass

CVE-2026-40976 (CVSS 9.1) : Spring Boot 4 — Bypass Total d’Authentification sur le Filtre de Sécurité par Défaut

This is arguably the most operationally dangerous CVE in the 2026 Spring wave. In Spring Boot 4.0, the spring-boot-actuator and spring-boot-health modules were split into separate dependencies. When an application:

C’est probablement la CVE la plus dangereuse opérationnellement dans la vague Spring 2026. Dans Spring Boot 4.0, les modules spring-boot-actuator et spring-boot-health ont été séparés en dépendances distinctes. Quand une application :

• is a servlet-based web application,
• has no custom SecurityFilterChain and relies on the auto-configured default,
• depends on spring-boot-actuator-autoconfigure,
• but does NOT depend on spring-boot-health,
• est une application web servlet,
• n’a pas de SecurityFilterChain personnalisé et repose sur la configuration auto par défaut,
• dépend de spring-boot-actuator-autoconfigure,
• mais ne dépend PAS de spring-boot-health,

…the default SecurityFilterChain is silently rendered ineffective. Every endpoint in the application becomes accessible without authentication — not just Actuator endpoints, but your entire API surface. The CVSS 9.1 score (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N) reflects the severity accurately: network-reachable, no privileges required, zero user interaction.

…le SecurityFilterChain par défaut est silencieusement rendu inefficace. Chaque endpoint de l’application devient accessible sans authentification — pas seulement les endpoints Actuator, mais toute votre surface d’API. Le score CVSS 9.1 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N) reflète fidèlement la gravité : joignable par réseau, aucun privilège requis, zéro interaction utilisateur.

Affected Versions

Versions affectées

Spring Boot 4.0.0 through 4.0.5. Applications that define their own @Bean SecurityFilterChain are not affected because they do not rely on the auto-configured default.

Spring Boot 4.0.0 à 4.0.5. Les applications qui définissent leur propre @Bean SecurityFilterChain ne sont pas affectées, car elles n’utilisent pas le SecurityFilterChain configuré automatiquement.

Fix

Correctif

Upgrade to Spring Boot 4.0.6 or later. As an interim mitigation, add spring-boot-health as an explicit dependency, or define your own SecurityFilterChain bean.

Migrez vers Spring Boot 4.0.6 ou supérieur. En mitigation temporaire, ajoutez spring-boot-health comme dépendance explicite, ou définissez votre propre bean SecurityFilterChain.

<!-- Maven: immediate mitigation for CVE-2026-40976 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-actuator</artifactId>
</dependency>
<!-- Add this if you do not already have it: -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-health</artifactId>
</dependency>
<!-- Or upgrade to the patched release: -->
<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>4.0.6</version>
</parent>

The cleanest long-term fix is to define an explicit SecurityFilterChain. This makes your security posture explicit, auditable, and immune to future auto-configuration surprises:

Le correctif le plus propre à long terme est de définir un SecurityFilterChain explicite. Cela rend votre posture de sécurité explicite, auditable et immune aux surprises de configuration automatique futures :

// Explicit SecurityFilterChain — not vulnerable to CVE-2026-40976
@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests(authz -> authz
                .requestMatchers("/actuator/health").permitAll()
                .anyRequest().authenticated()
            )
            .httpBasic(Customizer.withDefaults());
        return http.build();
    }
}

CVE-2026-22752 (CVSS 9.6): Spring Authorization Server — Dynamic Client Registration XSS, Privilege Escalation & SSRF

CVE-2026-22752 (CVSS 9.6) : Spring Authorization Server — Dynamic Client Registration XSS, Élévation de Privilèges & SSRF

Published April 21, 2026, CVE-2026-22752 targets Spring Authorization Server's Dynamic Client Registration (DCR) endpoint (/connect/register). When DCR is explicitly enabled, the server performs insufficient validation of certain client metadata fields provided by an authenticated requester holding a valid Initial Access Token. An attacker who obtains such a token can register a malicious client with crafted metadata, triggering three distinct exploit paths:

Publiée le 21 avril 2026, la CVE-2026-22752 cible l’endpoint de Dynamic Client Registration (DCR) du Spring Authorization Server (/connect/register). Quand le DCR est explicitement activé, le serveur effectue une validation insuffisante de certains champs de métadonnées client fournis par un requêteur authentifié disposant d’un Initial Access Token valide. Un attaquant qui obtient ce token peut enregistrer un client malveillant avec des métadonnées craftées, déclenchant trois chemins d’exploitation distincts :

• Stored XSS — malicious JavaScript injected via the client_name or logo_uri fields is stored and later rendered in the admin UI or consent page, executing in the context of admin or end-user sessions.
• Privilege Escalation — crafted scope or grant_types values can be used to register a client with broader permissions than the Initial Access Token should permit.
• SSRF — the jwks_uri or logo_uri fields, when unvalidated, cause the Authorization Server to issue outbound HTTP requests to internal infrastructure.
• XSS stocké — du JavaScript malveillant injecté via les champs client_name ou logo_uri est stocké puis rendu dans l’interface admin ou la page de consentement, s’exécutant dans le contexte de sessions admin ou utilisateur.
• Élévation de privilèges — des valeurs craftées pour scope ou grant_types permettent d’enregistrer un client avec des permissions supérieures à celles que l’Initial Access Token devrait autoriser.
• SSRF — les champs jwks_uri ou logo_uri, quand ils ne sont pas validés, poussent l’Authorization Server à émettre des requêtes HTTP sortantes vers l’infrastructure interne.

The CVSS vector is AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N — note the Changed scope, reflecting that the attack pivots from the attacker's client to the server's administrative context.

Le vecteur CVSS est AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N — notez la portée Changed, qui reflète que l’attaque pivote depuis le client de l’attaquant vers le contexte administratif du serveur.

Affected Versions

Versions affectées

• Spring Security 7.0.0–7.0.4
• Spring Authorization Server 1.3.0–1.3.10, 1.4.0–1.4.9, 1.5.0–1.5.6
• Spring Security 7.0.0–7.0.4
• Spring Authorization Server 1.3.0–1.3.10, 1.4.0–1.4.9, 1.5.0–1.5.6

Remediation

Remédiation

Upgrade to the corresponding fixed version: Spring Security 7.0.5+, Spring Authorization Server 1.3.11+, 1.4.10+, or 1.5.7+. If DCR is not operationally required, disable the /connect/register endpoint — this removes the entire attack surface as an interim mitigation:

Migrez vers la version corrigée correspondante : Spring Security 7.0.5+, Spring Authorization Server 1.3.11+, 1.4.10+, ou 1.5.7+. Si le DCR n’est pas nécessaire opérationnellement, désactivez l’endpoint /connect/register — cela supprime toute la surface d’attaque en guise de mitigation temporaire :

// Disable Dynamic Client Registration if not needed
@Configuration
public class AuthorizationServerConfig {

    @Bean
    public AuthorizationServerSettings authorizationServerSettings() {
        return AuthorizationServerSettings.builder()
            // Do not call .oidcClientRegistrationEndpoint() — keeps /connect/register disabled
            .authorizationEndpoint("/oauth2/authorize")
            .tokenEndpoint("/oauth2/token")
            .jwkSetEndpoint("/oauth2/jwks")
            .build();
    }
}

If you must use DCR, implement strict server-side validation on all client metadata fields: allowlist redirect_uri schemes, reject non-HTTPS logo_uri / jwks_uri pointing to private IP ranges, and sanitize client_name for HTML entities before storage.

Si vous devez utiliser le DCR, implémentez une validation stricte côté serveur sur tous les champs de métadonnées client : liste blanche des schémas redirect_uri, refus des logo_uri / jwks_uri non-HTTPS pointant vers des plages IP privées, et échappement HTML de client_name avant stockage.

Other High-Severity Spring CVEs in April 2026

Autres CVE Spring à haute sévérité en avril 2026

Beyond the two critical CVEs above, the April 2026 Spring security release included five additional noteworthy vulnerabilities:

Au-delà des deux CVE critiques ci-dessus, la version de sécurité Spring d’avril 2026 comprenait cinq vulnérabilités supplémentaires notables :

All are fixed in the Spring Security 2026.04 releases, available from April 21, 2026. Reference: spring.io/blog/2026/04/21/spring-security-releases/.

Toutes sont corrigées dans les versions Spring Security 2026.04, disponibles depuis le 21 avril 2026. Référence : spring.io/blog/2026/04/21/spring-security-releases/.

Spring Boot 3.5 End-of-Life: June 30, 2026 — 18 Days Away

Fin de vie Spring Boot 3.5 : 30 juin 2026 — dans 18 jours

Spring Boot 3.5 is the final minor release in the 3.x series. Open-source support ends on June 30, 2026. After that date, no further security patches will be published for the 3.x branch in open-source form (commercial support via HeroDevs NES remains available). If you are still on Spring Boot 3.5.x, you have three paths:

Spring Boot 3.5 est la dernière version mineure de la série 3.x. Le support open source se termine le 30 juin 2026. Après cette date, aucun patch de sécurité supplémentaire ne sera publié pour la branche 3.x en open source (le support commercial via HeroDevs NES reste disponible). Si vous êtes encore sur Spring Boot 3.5.x, trois options s’offrent à vous :

• Option A (recommended): Migrate to Spring Boot 4.0.6+ now. The 3.5→4.0 migration requires Java 17 minimum (Java 21 recommended), removes Jakarta EE 8 support (use Jakarta EE 11), and introduces Spring Security 7 breaking changes detailed below.
• Option B (short-term): Pin to the last 3.5.x patch release (currently 3.5.6) and migrate before September 2026, treating any new Spring CVEs as manual patches.
• Option C (commercial): Engage HeroDevs NES for extended security backports while your migration is planned.
• Option A (recommandée) : Migrer vers Spring Boot 4.0.6+ maintenant. La migration 3.5→4.0 requiert Java 17 minimum (Java 21 recommandé), supprime le support Jakarta EE 8 (utilisez Jakarta EE 11), et introduit les changements cassants de Spring Security 7 détaillés ci-dessous.
• Option B (court terme) : Figer sur la dernière version patch 3.5.x (actuellement 3.5.6) et migrer avant septembre 2026, en traitant toute nouvelle CVE Spring comme un patch manuel.
• Option C (commercial) : Faire appel à HeroDevs NES pour des backports de sécurité étendus pendant la planification de votre migration.

Spring Security 7.0 Migration Guide: Security-Breaking Changes

Guide de migration Spring Security 7.0 : changements cassants côté sécurité

Spring Boot 4 ships with Spring Security 7. The following changes will break existing security configurations if you are not prepared:

Spring Boot 4 est livré avec Spring Security 7. Les changements suivants casseront vos configurations de sécurité existantes si vous n’êtes pas préparé :

1. CSRF Protection Enabled for REST APIs (Breaking)

1. Protection CSRF activée pour les API REST (changement cassant)

In Spring Security 7, CSRF protection is now enabled by default for API endpoints (not just form-based flows). REST APIs that do not send a CSRF token will receive 403 Forbidden responses. If your API relies on stateless JWT authentication, you must explicitly disable CSRF or configure a cookie-based CSRF strategy:

Dans Spring Security 7, la protection CSRF est maintenant activée par défaut pour les endpoints API (pas seulement pour les formulaires). Les API REST qui n’envoient pas de token CSRF recevront des réponses 403 Forbidden. Si votre API s’appuie sur l’authentification JWT sans état, vous devez désactiver explicitement le CSRF ou configurer une stratégie CSRF basée sur les cookies :

// Spring Security 7 — stateless JWT API: disable CSRF
http.csrf(csrf -> csrf.disable())
    .sessionManagement(session ->
        session.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
    );

2. authorizeRequests() Removed — Use authorizeHttpRequests()

2. authorizeRequests() supprimé — utiliser authorizeHttpRequests()

The deprecated authorizeRequests() DSL is fully removed in Spring Security 7. You must migrate to authorizeHttpRequests(). OpenRewrite's Spring Boot 4 migration recipe handles this automatically for the common patterns.

Le DSL authorizeRequests() déprécié est intégralement supprimé dans Spring Security 7. Vous devez migrer vers authorizeHttpRequests(). La recette de migration Spring Boot 4 d’OpenRewrite gère cela automatiquement pour les patterns courants.

// Spring Security 6 (deprecated)
http.authorizeRequests()
    .antMatchers("/admin/**").hasRole("ADMIN")
    .anyRequest().authenticated();

// Spring Security 7 (required)
http.authorizeHttpRequests(authz -> authz
    .requestMatchers("/admin/**").hasRole("ADMIN")
    .anyRequest().authenticated()
);

3. Spring Authorization Server Merged into Spring Security

3. Spring Authorization Server intégré dans Spring Security

As of Spring Security 7, the Authorization Server is part of the core distribution. Explicit spring-security-oauth2-authorization-server dependency management changes: the BOM now manages the version automatically. Remove any explicit version pins for the Authorization Server in your POM/Gradle build or you may inadvertently downgrade to an unpatched release.

Depuis Spring Security 7, l’Authorization Server fait partie de la distribution principale. La gestion des dépendances spring-security-oauth2-authorization-server change : le BOM gère désormais la version automatiquement. Supprimez tout pinning de version explicite pour l’Authorization Server dans votre POM/Gradle, sinon vous risquez de régresser vers une version non pachée.

4. OAuth2 Client Properties Restructured

4. Propriétés OAuth2 Client restructurées

The spring.security.oauth2.client.* properties have been restructured. If you use Google, GitHub, Okta, or a custom OIDC provider, review your application.yml against the Spring Boot 4 reference documentation before migrating.

Les propriétés spring.security.oauth2.client.* ont été restructurées. Si vous utilisez Google, GitHub, Okta ou un fournisseur OIDC personnalisé, relisez votre application.yml en vous référant à la documentation de référence Spring Boot 4 avant de migrer.

5. Using OpenRewrite for the Heavy Lifting

5. Utiliser OpenRewrite pour les tâches lourdes

OpenRewrite's automated migration recipes handle approximately 80% of Spring Boot 3→4 breaking changes, including package renames, deprecated API replacements, and the authorizeRequests() migration. Add the plugin to your Maven build and run the recipe:

Les recettes de migration automatique d’OpenRewrite gèrent environ 80% des changements cassants Spring Boot 3→4, incluant les renommages de packages, les remplacements d’API dépréciées, et la migration authorizeRequests(). Ajoutez le plugin à votre build Maven et lancez la recette :

<!-- pom.xml: add OpenRewrite plugin -->
<plugin>
    <groupId>org.openrewrite.maven</groupId>
    <artifactId>rewrite-maven-plugin</artifactId>
    <version>5.43.0</version>
    <configuration>
        <activeRecipes>
            <recipe>org.openrewrite.java.spring.boot3.UpgradeSpringBoot_4_0</recipe>
        </activeRecipes>
    </configuration>
    <dependencies>
        <dependency>
            <groupId>org.openrewrite.recipe</groupId>
            <artifactId>rewrite-spring</artifactId>
            <version>5.24.0</version>
        </dependency>
    </dependencies>
</plugin>

mvn rewrite:run   # auto-migrate 80% of breaking changes
# Then: review changes, run tests, fix the remaining 20% manually

Spring Boot 4 / Spring Security 7 Security Hardening Checklist

Checklist de durcissement Spring Boot 4 / Spring Security 7

After migrating, run through this checklist to ensure your security posture is solid:

Après la migration, parcourez cette checklist pour vous assurer que votre posture de sécurité est solide :

Frequently Asked Questions

Questions fréquentes