Lỗ hổng CVE trong Spring Cloud Config đang ảnh hưởng trực tiếp đến cơ chế cấu hình tập trung của hệ thống phân tán, đặc biệt khi máy chủ cấu hình lưu trữ khóa, secret và dữ liệu nhạy cảm cho nhiều dịch vụ. Bốn lỗ hổng CVE được công bố nằm trong các nhánh 3.1.x, 4.1.x, 4.2.x, 4.3.x và 5.0.x, với mức độ từ trung bình đến nghiêm trọng.
Phạm vi ảnh hưởng của lỗ hổng CVE
Spring Cloud Config cung cấp hỗ trợ phía server và client cho cấu hình ngoài ứng dụng. Khi thành phần này được triển khai trong môi trường microservice, một lỗ hổng CVE có thể dẫn đến truy cập tệp trái phép, rò rỉ bí mật đám mây, hoặc lộ thông tin qua log.
Nguồn tham chiếu chính thức có thể xem tại Spring Security Advisory. Thông tin bổ sung về phân loại và tra cứu CVE cũng có thể đối chiếu trên NVD.
CVE-2026-40982: Directory traversal nghiêm trọng
CVE-2026-40982 là CVE nghiêm trọng liên quan đến directory traversal trên Spring Cloud Config Server. Lỗ hổng CVE này cho phép kẻ tấn công gửi một URL được tạo đặc biệt đến máy chủ để vượt qua giới hạn thư mục và truy cập vào tệp bất kỳ trên hệ thống host.
Module Spring Cloud Config có khả năng phục vụ cả tệp văn bản và tệp nhị phân qua mạng. Khi cơ chế kiểm soát đường dẫn không được xử lý đúng, một yêu cầu độc hại có thể truy cập dữ liệu ngoài phạm vi cho phép của ứng dụng.
Ảnh hưởng kỹ thuật
- Đọc trái phép tệp trên máy chủ.
- Tiếp cận cấu hình nội bộ và khóa bí mật.
- Tăng rủi ro hệ thống bị xâm nhập nếu tệp bị lộ chứa thông tin xác thực.
CVE-2026-40981: Rò rỉ Google Secrets Manager
CVE-2026-40981 ảnh hưởng đến các tổ chức dùng Google Secrets Manager làm backend cho cấu hình. Lỗ hổng CVE này cho phép kẻ tấn công tạo request đặc biệt để làm lộ secret từ các dự án Google Cloud Platform không mong muốn.
Trong môi trường dùng Spring Cloud Config để tập trung hóa secret, chỉ cần một request hợp lệ về mặt giao thức nhưng sai mục tiêu dự án cũng có thể tạo ra rò rỉ dữ liệu nhạy cảm.
Rủi ro bảo mật cần lưu ý
- Tiết lộ secret giữa các project không liên quan.
- Truy cập nhầm dữ liệu cấu hình nội bộ.
- Gia tăng nguy cơ bảo mật khi token hoặc phân quyền backend không được kiểm soát chặt.
CVE-2026-41002: TOCTOU trên thư mục Git base
CVE-2026-41002 giới thiệu bề mặt tấn công time-of-check-time-of-use trên thư mục base dùng để clone Git repository. Đây là một lỗ hổng CVE liên quan đến race condition trong quá trình xử lý file khi clone.
Kẻ tấn công có thể can thiệp vào tệp trong lúc hệ thống đang kiểm tra và sử dụng, từ đó làm thay đổi nội dung được ghi hoặc truy cập trong quá trình clone.
Điểm chính của lỗ hổng
- Khai thác phụ thuộc vào race condition.
- Ảnh hưởng trực tiếp đến thư mục clone Git.
- Có thể làm sai lệch dữ liệu file trong tiến trình xử lý.
CVE-2026-41004: Lộ thông tin qua logging
CVE-2026-41004 là lỗ hổng mức trung bình ảnh hưởng đến cơ chế logging nội bộ. Khi quản trị viên bật trace logging, hệ thống có thể ghi thông tin nhạy cảm dạng plain text vào file log.
Đây là một lỗ hổng CVE có thể dẫn đến lộ credential hoặc secret cấu hình cho những người dùng nội bộ có quyền đọc log. Dù không phải remote code execution, tác động của nó vẫn đáng kể trong môi trường dùng log tập trung hoặc chia sẻ quyền truy cập.
Điều kiện kích hoạt
- Trace logging được bật.
- File log có thể bị đọc bởi người dùng không được ủy quyền đầy đủ.
- Dữ liệu nhạy cảm xuất hiện trực tiếp trong log.
Phiên bản bị ảnh hưởng và mức độ rủi ro
Toàn bộ bốn lỗ hổng CVE ảnh hưởng đến các nhánh phát hành giống nhau của Spring Cloud Config. Các phiên bản bị tác động gồm 3.1.x, 4.1.x, 4.2.x, 4.3.x và 5.0.x. Các phiên bản cũ hơn, không còn được hỗ trợ, cũng vẫn ở trạng thái dễ bị khai thác.
Trong môi trường dùng cấu hình tập trung cho nhiều microservice, các lỗ hổng này có thể tạo ra chuỗi tấn công mạng kéo dài từ truy cập tệp, lộ secret đến khai thác sai cấu hình logging.
Bản vá và phiên bản khắc phục
Spring đã phát hành các bản vá cho từng nhánh hỗ trợ. Với mã nguồn mở, bản cập nhật được khuyến nghị là 4.3.3 cho nhánh 4.3.x và 5.0.3 cho nhánh 5.0.x. Khách hàng Enterprise được cung cấp bản sửa lỗi riêng trong 3.1.14, 4.1.10 và 4.2.7.
Việc áp dụng cập nhật bản vá cần được ưu tiên ngay, vì máy chủ cấu hình thường chứa dữ liệu trung tâm của toàn bộ hệ sinh thái dịch vụ.
Biện pháp tạm thời cho CVE-2026-40981
Nếu chưa thể vá ngay lỗ hổng liên quan đến Google Cloud Platform secrets, quản trị viên có thể bật thuộc tính sau để buộc client gửi token hợp lệ:
spring.cloud.config.server.gcp-secret-manager.token-mandatory=trueCấu hình này khiến máy chủ xác thực token trước khi trả về project secret, giúp giảm rủi ro truy cập sai nguồn dữ liệu trong thời gian chờ triển khai bản vá.
Khuyến nghị kiểm tra và triển khai
Với một lỗ hổng CVE trong Spring Cloud Config, việc kiểm tra không nên chỉ dừng ở version. Cần rà soát cả cấu hình runtime, logging và backend secret store để phát hiện rủi ro an toàn thông tin còn tồn tại sau khi nâng cấp.
- Xác định chính xác nhánh phiên bản đang chạy.
- Ưu tiên nâng cấp lên bản đã vá tương ứng.
- Tắt trace logging nếu không cần thiết.
- Kiểm tra quyền truy cập vào log và secret backend.
- Rà soát các endpoint cấu hình có thể bị truy cập từ mạng ngoài.
Kiểm tra nhanh cấu hình và phiên bản
java -jar spring-cloud-config-server.jar --version
# Kiểm tra cấu hình logging
grep -R "trace" /etc/spring-cloud-config/
# Kiểm tra thuộc tính GCP secret manager
grep -R "gcp-secret-manager" /etc/spring-cloud-config/Tóm tắt kỹ thuật theo từng lỗ hổng CVE
- CVE-2026-40982: Directory traversal, truy cập tệp trái phép trên host.
- CVE-2026-40981: Rò rỉ secret từ Google Secrets Manager backend.
- CVE-2026-41002: TOCTOU trên thư mục clone Git, có thể bị can thiệp trong lúc xử lý file.
- CVE-2026-41004: Lộ thông tin nhạy cảm qua log khi bật trace logging.
Các lỗ hổng CVE này đều nằm trong lớp hạ tầng cấu hình, nên tác động thực tế thường lan rộng hơn một dịch vụ đơn lẻ. Khi máy chủ cấu hình bị ảnh hưởng, toàn bộ chuỗi cung ứng cấu hình của hệ thống có thể bị kéo theo.
