점검 대응높음KEV 미등록

CVE-2026-41862

Spring Spring Statemachine 취약점

대응 우선순위
점검
CVSS
8.8
EPSS
0.42%
백분위 34.0% · 2026.07.01 기준
CISA KEV
미등록
조치 기한
-
공개일
2026.06.24

점검 대응 판단

CVSS 위험도가 높아 영향 여부를 우선 점검할 취약점

실제 악용미확인
EPSS0.42%
EPSS 백분위34.0%

설명

Spring Statemachine's Kryo-based persistence backends (JPA, MongoDB, Redis and ZooKeeper) deserialise persisted state-machine contexts without enforcing a class allowlist (CWE-502, deserialisation of untrusted data), which can lead to remote code execution inside the application JVM. Affected versions: Spring Statemachine 4.0.0 through 4.0.1 Spring Statemachine 3.2.0 through 3.2.4

영향 제품·버전

제품 Spring Spring Statemachine

영향 버전 Spring Spring Statemachine 4.0.0, 3.2.0

수정 버전 Spring Spring Statemachine · 수정 버전은 공급사 공식자료 확인 필요

조치 방법

공식 근거와 일반 실무 절차를 구분해 제공합니다.

전체 실무 가이드
  • 구조화 해석공급사 패치를 적용하고 자체 개발 영역이면 안전한 데이터 형식과 타입 허용목록, 무결성 검증을 사용합니다.
  • 일반 실무공급사 공식 보안권고에 따라 패치, 설정 완화, 기능 비활성화 또는 제품 사용중단 중 적용 가능한 조치를 선택합니다.
  • 일반 실무패치 파일·패키지는 공급사 공식 배포 경로에서만 받고 서명·해시·배포대상을 확인합니다.
  • 일반 실무공식 문서에 없는 레지스트리·설정값·명령어를 임의 적용하지 않습니다.
영향 확인부터 롤백·증적까지적용 대상 확인, 즉시 완화, 패치 준비, 정식 조치, 검증, 롤백, 증적 체크리스트를 확인합니다.
취약점 조치 실무 가이드 보기 →

기술 정보

CVSS 벡터 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE CWE-502

EPSS 데이터 기준일 2026.07.01