Centre de ressources sur la fin de vie au Spring
La fin de vie n'est pas forcément synonyme de fin de support. Découvrez des stratégies, des ressources et des solutions pour que vos applications Spring restent stables, sécurisées et conformes.

Articles en vedette
Consultez les avis d'experts, les actualités du secteur, les analyses et les conseils pratiques sur les transitions de fin de vie de Spring et de Java.
Explorer les CVE sur les bibliothèques Java en fin de vie
Surveillez et apprenez-en plus sur les vulnérabilités connues de Spring et d'autres bibliothèques Java populaires.
Sévérité
ID
Technologie
Bibliothèques concernées
Catégorie
Version(s) affectée(s)
Date de publication
Haut
Spring
Spring Passerelle Cloud
Exposition à l'information
>=3.1.0 <=3.1.11, >=4.0.0, >=4.1.0 <=4.1.11, >=4.2.0 <=4.2.5, >=4.3.0 <=4.3.1
21 octobre 2025
Moyen
Spring
Cadre de travail Spring
Falsification des requêtes intersites
>=6.2.0 < 6.2.12, >=6.1.0 < 6.1.24, >=6.0.0 <=6.0.29, >=5.3.0 < 5.3.46, <5.3.0, >4.3.0 <= 4.3.30
21 octobre 2025
Critique
.NET
ASP.NET Core Runtime, Microsoft.AspNetCore.Server.Kestrel.Core
Interprétation incohérente des requêtes HTTP
ASP.NET Core: >= 6.0.0 <= 6.0.36 >= 8.0.0 <= 8.0.20 >= 9.0.0 <= 9.0.9 <= 10.0.0-rc.1 Microsoft.AspNetCore.Server.Kestrel.Core: <= 2.3.0
17 octobre 2025
Moyen
Next.js
Next.js
Tromperie sur le cache
>=12.0.0 <14.2.31, >=15.0.0 <15.4.5
7 octobre 2025
Moyen
Spring
Cadre de travail Spring
Abus de privilèges
>=5.3.0 <=5.3.44, >=6.0.0 <=6.0.29, >=6.1.0 <6.1.23, >=6.2.0 <6.2.11
22 septembre 2025
Haut
Angular
angular, angular, @nguniversal/common
Exposition à l'information
@angular/platform-server, =16.0.0-next.0 <18.2.14, >=19.0.0-next.0 <19.2.15, >=20.0.0-next.0 <20.3.0, >=21.0.0-next.0 <21.0.0-next.3, @angular/ssr, =17.0.0-next.0 <18.2.21, >=19.0.0-next.0 <19.2.16, >=20.0.0-next.0 <20.3.0, >=21.0.0-next.0 <21.0.0-next.3, @nguniversal/common, =16.0.0-next.0
11 septembre 2025
Critique
Spring
Spring Passerelle Cloud
Contrôle d'accès mal configuré
>=3.1.0 <=3.1.9, >=4.0.0 <=4.0.9, >=4.1.0 <=4.1.9, >=4.2.0 <4.2.5, >=4.3.0 <4.3.1
10 septembre 2025
Moyen
Spring
Cadre de travail Spring
Traversée du chemin
>=4.3.0 <=4.3.30, >=5.3.0 <=5.3.43, >=6.0.0 <=6.0.29, >=6.1.0 <=6.1.21, >=6.2.0 <=6.2.9
18 août 2025
Haut
Struts
Apache Commons Beanutils
Exécution de code à distance
>=1.0 <1.11, >=2.0.0-M1 <2.0.0-M2
4 août 2025
Haut
Struts
Apache Commons Fileupload
Déni de service
>=1.0 <1.6.0, >=2.0.0-M1 <2.0.0-M
4 août 2025
Haut
Apache Tomcat
Apache Tomcat
Traversée du chemin
>=9.0.0.M1 <9.0.105, >=10.1.0-M1 <10.1.41, >=11.0.0-M1 <11.0.7
4 août 2025
Critique
Apache Tomcat
Apache Tomcat
Injection de commande
>=9.0.76 <9.0.104, >=10.1.10 <10.1.40, >=11.0.0-M2 <11.0.6
4 août 2025
Critique
Apache Tomcat
Apache Tomcat
Exécution de code à distance
>=9.0.0.M1 <9.0.99, >=10.1.0-M1 <10.1.35, >=11.0.0-M1 <11.0.3
30 juillet 2025
Moyen
Apache Tomcat
Apache Tomcat
Déni de service
>=9.0.0.M1 <9.0.107, >=10.1.0-M1 <10.1.43, >=11.0.0-M1 <11.0.9
30 juillet 2025
Moyen
Apache Tomcat
Apache Tomcat
Déni de service
>=9.0.0.M1 <9.0.107, >=10.1.0-M1 <10.1.43, >=11.0.0-M1 <11.0.9
30 juillet 2025
Moyen
Apache Tomcat
Apache Tomcat
Contournement de l'autorisation
>=9.0.0.M1 <9.0.106, >=10.1.0-M1 <10.1.42, >=11.0.0-M1 <11.0.8
30 juillet 2025
Haut
Apache Tomcat
Apache Tomcat
Traversée du chemin
>=9.0.23 <9.0.106, >=10.1.0 <10.1.42, >=11.0.0-M1 <11.0.8
30 juillet 2025
Haut
Apache Tomcat
Apache Tomcat
Déni de service
>=9.0.0.M1 <9.0.106, >=10.1.0-M1 <10.1.42, >=11.0.0-M1 <11.0.8
30 juillet 2025
Haut
Apache Tomcat
Apache Tomcat
Déni de service
>=9.0.76 <9.0.104, >=10.1.10 <10.1.40, >=11.0.0-M2 <11.0.6
30 juillet 2025
Haut
Node.js
Node.js
Traversée du chemin
4.0 < 20.19.4, 22 < 22.17.1, 24 < 24.4.1
15 juillet 2025
Haut
.NET
ASP.NET Core Runtime Microsoft.AspNetCore.Identity
Authentification faible
ASP.NET Core: >= 6.0.0 <= 6.0.36 Microsoft.AspNetCore.Identity: <= 2.3.0
9 juillet 2025
Moyen
Drupal 7
Module de conformité aux règles de l'UE en matière de cookies
Scripts croisés (Cross-Site Scripting)
<7.x-1.45
13 juin 2025
Haut
Spring
Spring Passerelle Cloud
Contrebande de requêtes HTTP
<=3.1.10, >= 4.0.0 <= 4.0.10, >=4.1.0 <4.1.8, >=4.2.0 <4.2.3, >4.3.0-{M1, M2, RC1} < 4.3.0
2 juin 2025
Haut
Apache Tomcat
Apache Tomcat
Exécution de code à distance
>=9.0.0.M1 <9.0.98, >=10.1.0-M1 <10.1.34, >=11.0.0-M1 <11.0.2
28 mai 2025
Moyen
Apache Tomcat
Apache Tomcat
Déni de service
>=9.0.0.M1 <9.0.98, >=10.1.0-M1 <10.1.34, >=11.0.0-M1 <11.0.2
28 mai 2025
Moyen
Apache Tomcat
Apache Tomcat
Exposition à l'information
>=9.0.92 <9.0.96, >=10.1.27 <10.1.31, >=11.0.0-M23 <11.0.0
28 mai 2025
Critique
Apache Tomcat
Apache Tomcat
Contournement de l'autorisation
<9.0.96, >=10.1.0-M1 <10.1.30, >=11.0.0-M1 <11.0.1
28 mai 2025
Haut
Apache Tomcat
Apache Tomcat
Exécution de code à distance
>=9.0.0.M1 <9.0.98, >=10.1.0-M1 <10.1.34, >=11.0.0-M1 <11.0.2
28 mai 2025
Haut
Apache Tomcat
Apache Tomcat
Déni de service
>=9.0.13 <9.0.90, >=10.1.0-M1 <10.1.25, >=11.0.0-M1 <11.0.0.M21
28 mai 2025
Haut
Apache Tomcat
Apache Tomcat
Déni de service
>=9.0.0.M1 <9.0.90, >=10.1.0-M1 <10.1.25, >=11.0.0-M1 <11.0.0-M21
28 mai 2025
Moyen
Drupal 7
GDPR
Falsification des requêtes intersites
>7.0.0 <=7.1.x-alpha12
16 mai 2025
Faible
Spring
Cadre de travail Spring
Contournement de l'autorisation
>=4.3.0 <=4.3.30, >=5.3.0 <=5.3.42, >=6.0.0 <=6.0.27, >=6.1.0 <6.1.20, >=6.2.0 <6.2.7
15 mai 2025
Haut
Node.js
Node.js
Faiblesse cryptographique
4.0 < 20.19.1, 22 < 22.15.0, 24 < 24.0.1
14 mai 2025
Moyen
Struts
Apache Struts
Déni de service
<1.3.10, >=2.0.5 <2.5.31, >=6.0.0 <6.1.2.1
12 mai 2025
Haut
Spring
Sécurité du Spring
Contournement de l'autorisation
>=5.7.0 <5.7.12, >=5.8.0 <5.8.11, >=6.0.0 <6.0.10, >=6.1.0 <6.1.8, >=6.2.0 <6.2.3
8 mai 2025
Moyen
Spring
Spring Boot
Contrôle d'accès mal configuré
<2.7.0, >=2.7.0 <2.7.25, >=3.1.0 <3.1.16, >=3.2.0 <3.2.14, >=3.3.0 <3.3.11, >=3.4.0 <3.4.5
25 avril 2025
Moyen
Spring
Sécurité du Spring
Exposition à l'information
=5.7.16, =5.8.18, =6.0.16, =6.1.14, =6.2.10, =6.3.8, =6.4.4
22 avril 2025
Moyen
Spring
Spring Cloud Config
Contournement de l'autorisation
>=2.2.0 <=2.2.8, >=3.0.0 <=3.0.7, >=3.1.0 <3.1.10, >=4.0.0 <=4.0.5, >=4.1.0 <4.1.6, >=4.2.0 <4.2.1
10 avril 2025
Moyen
Apache Spark
Apache Spark
Scripts croisés (Cross-Site Scripting)
3.3.0 <=3.2.1
9 avril 2025
Critique
Apache Spark
Apache Spark
Accès interrompu
<3.4.0 >=3.3.0 <=3.3.1 >=3.2.0 <=3.2.3 >=3.1.0 <=3.1.3 >=3.0.0 <=3.0.3 >=2.4.8
9 avril 2025
Haut
Apache Spark
Apache Spark
Injection de commande
>=3.2.0 <=3.2.1 >=3.1.1 <=3.1.3 <=3.0.3
9 avril 2025
Critique
Apache Camel
Apache Camel
Exécution de code à distance
>=3.0.0 <=3.1.0 2.25.0 2.24.x 2.23.x 2.22.x
7 avril 2025
Haut
.NET
ASP.NET Core Runtime ; Microsoft.AspNetCore.Identity
Authentification faible
ASP.NET Core: >= 6.0.0 <= 6.0.36 >= 8.0.0 <= 8.0.13 >= 9.0.0 <= 9.0.2 Microsoft.AspNetCore.Identity: <= 2.3.0
4 avril 2025
Haut
.NET
Exécution .NET
Lecture excessive de la mémoire tampon
>= 6.0.0 <= 6.0.36 >= 8.0.0 <= 8.0.11 <= 9.0.0
4 avril 2025
Haut
.NET
Exécution .NET
Création d'un fichier temporaire dans un répertoire avec des autorisations non sécurisées
>= 6.0.0 <= 6.0.36 >= 8.0.0 <= 8.0.11 <= 9.0.0
4 avril 2025
Haut
.NET
Exécution .NET
Débordement de mémoire tampon basé sur le tas
>= 6.0.0 <= 6.0.36 >= 8.0.0 <= 8.0.11 <= 9.0.0
4 avril 2025
Haut
.NET
ASP.NET Core Runtime
Utilisation après la gratuité
>= 6.0.0 <= 6.0.36 >= 8.0.0 <= 8.0.8 >= 9.0.0-preview.1.24081.5 <= 9.0.0.RC.1
4 avril 2025
Critique
.NET
ASP.NET Core Runtime
Utilisation après la gratuité
>= 6.0.0 <= 6.0.36 >= 8.0.0 <= 8.0.6
4 avril 2025
Critique
Next.js
Next.js
Contournement de l'autorisation
>=11.1.4 <12.3.5, >=13.0.0 <13.5.9, >=14.0.0 <14.2.25, >=15.0.0 <15.2.3
23 mars 2025
Moyen
Apache Solr et Lucene
Apache Lucene
Exécution de code à distance
>=4.4.0 <9.12.0
21 mars 2025
Haut
Spring
Sécurité du Spring
Contournement de l'autorisation
<=5.6.12, >=5.7.0 <5.7.16, >=5.8.0 <5.8.18, >=6.0.0 <=6.0.16, >=6.1.0 <6.1.14, >=6.2.0 <6.2.10, >=6.3.0 <6.3.8, >=6.4.0 <6.4.4
20 mars 2025
Moyen
Spring
Spring pour Apache Kafka
Exécution de code à distance
<2.9.11, >=3.0.0 <3.0.10
3 mars 2025
Moyen
Bootstrap
Bootstrap
Scripts croisés (Cross-Site Scripting)
>=2.0.0 <=2.3.2, >=3.0.0-rc1 <3.4.1
28 février 2025
Moyen
Bootstrap
Bootstrap
Scripts croisés (Cross-Site Scripting)
>=2.0.0 <=2.3.2, >=3.0.0-rc1 <3.4.0, >=4.0.0-alpha <4.0.0-beta.2
28 février 2025
Moyen
Bootstrap
Bootstrap
Scripts croisés (Cross-Site Scripting)
>=2.3.0 <=2.3.2, >=3.0.0-rc1 <3.4.0, >=4.0.0-alpha <4.1.2
28 février 2025
Moyen
Bootstrap
Bootstrap
Scripts croisés (Cross-Site Scripting)
>=2.3.0 <=2.3.2, >=3.0.0-rc1 <3.4.0, >=4.0.0-alpha <4.1.2
28 février 2025
Moyen
Rails
Support
Neutralisation incorrecte de la sortie des billes
<2.2.11, <3.0.12, <3.1.10
14 février 2025
Haut
L'essentiel du Web
Proxy Http Middleware
Déni de service
<2.0.7, >=3.0.0 <3.0.3
27 janvier 2025
Haut
L'essentiel du Web
Webpack Dev Middleware
Traversée du chemin
<5.3.4, >=6.0.0 <6.1.2, >=7.0.0 <7.1.0
27 janvier 2025
Haut
Node.js
Node.js
Contournement de l'autorisation
4.0 < 20.18.2, 22 < 22.13.1
22 janvier 2025
Critique
Struts
Apache Struts
Exécution de code à distance
>=2.0.0 <=2.3.37, >=2.5.0 <=2.5.33, >=6.0.0 <=6.3.0.2
17 décembre 2024
Livre blanc en vedette
Rapports approfondis et exposés techniques sur la migration, les risques et la stratégie Java à long terme.
Java en 2025 :
Naviguer dans la migration, la sécurité et les risques à long terme
La question qui se pose aux DSI, RSSI et responsables techniques n'est plus de savoir s'il faut continuer à s'appuyer sur Java. Ce livre blanc fournit une analyse détaillée des réalités de la migration, des leçons tirées des violations du monde réel, du risque de la chaîne d'approvisionnement et des dynamiques économiques, réglementaires et des fournisseurs qui façonneront les décisions des entreprises en 2025.

Les CVE expliqués
Découvrez les principaux CVE de Spring et de Java : notre équipe dissèque l'exploit, explique le correctif et vous montre comment défendre votre pile de données.
CVE-2025-48976
Déni de service
Haut
Projet concerné :
Apache Commons Fileupload dans Struts
Versions :
>=1.0 <1.6.0
>=2.0.0-M1 <2.0.0-M
CVE-2025-46701
Traversée du chemin
Haut
Projet concerné :
Apache Tomcat dans Apache Tomcat
Versions :
>=9.0.0.M1 <9.0.105
>=10.1.0-M1 <10.1.41
>=11.0.0-M1 <11.0.7
CVE-2025-31651
Injection de commande
Critique
Projet concerné :
Apache Tomcat dans Apache Tomcat
Versions :
>=9.0.76 <9.0.104
>=10.1.10 <10.1.40
>=11.0.0-M2 <11.0.6
CVE-2025-48734
Exécution de code à distance
Haut
Projet concerné :
Apache Commons Beanutils dans Struts
Versions :
>=1.0 <1.11
>=2.0.0-M1 <2.0.0-M2
Histoires de migration
Lisez les cas d'utilisation réels et les leçons tirées par les équipes qui migrent les systèmes OSS existants et en fin de vie.
.png)
.png)



.png)








.png)
.png)
.png)
.png)
![CVE-2024-38828 : DoS via une méthode de contrôleur Spring MVC avec un paramètre byte[].](https://cdn.prod.website-files.com/62876589ec366575fa309b1e/673e0f6a7971ec7d5afa92c9_CVE-2024-38828.png)
.png)



.png)
.png)

.png)
.png)
.png)

.png)