점검 대응높음KEV 미등록
CVE-2026-41862
Spring Spring Statemachine 취약점
- 대응 우선순위
- 점검
- CVSS
- 8.8
- EPSS
- 0.42% 백분위 34.0% · 2026.07.01 기준
- CISA KEV
- 미등록
- 조치 기한
- -
- 공개일
- 2026.06.24
CVSS 위험도가 높아 영향 여부를 우선 점검할 취약점
Spring Statemachine's Kryo-based persistence backends (JPA, MongoDB, Redis and ZooKeeper) deserialise persisted state-machine contexts without enforcing a class allowlist (CWE-502, deserialisation of untrusted data), which can lead to remote code execution inside the application JVM. Affected versions: Spring Statemachine 4.0.0 through 4.0.1 Spring Statemachine 3.2.0 through 3.2.4
제품 Spring Spring Statemachine
영향 버전 Spring Spring Statemachine 4.0.0, 3.2.0
수정 버전 Spring Spring Statemachine · 수정 버전은 공급사 공식자료 확인 필요
공식 근거와 일반 실무 절차를 구분해 제공합니다.
CVSS 벡터 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE CWE-502
EPSS 데이터 기준일 2026.07.01