Spring-Schwachstellen: CERT-FR warnt vor RCE

Die französische Cybersicherheitsbehörde CERT-FR veröffentlichte am 11. Mai 2026 den Hinweis CERTFR-2026-AVI-0554 und warnte vor mehreren Schwachstellen in Spring-Produkten. Zu den identifizierten Risiken zählen Remote Code Execution, Remote Denial of Service sowie die Verletzung der Datenvertraulichkeit.

Was wurde festgestellt?

Laut CERT-FR, der französischen nationalen Cybersicherheitsbehörde (ANSSI), könnten Angreifer diese Schwachstellen möglicherweise ausnutzen, um aus der Ferne Schadcode auf betroffenen Systemen auszuführen, Dienste zum Ausfall zu bringen oder auf Daten zuzugreifen, die vertraulich bleiben sollten. Der Hinweis gibt nicht an, ob eine dieser Schwachstellen bereits aktiv ausgenutzt wurde.

Wer ist betroffen?

Spring ist ein weit verbreitetes Software-Framework, das Entwicklerinnen und Entwickler für den Aufbau von Webanwendungen und Online-Diensten nutzen. Wenn Ihre Website oder ein Back-End-System, das Ihr Unternehmen verwendet, mit Spring entwickelt wurde, sollte Ihre Entwicklerin oder Ihr Entwickler beziehungsweise Ihr Hosting-Anbieter prüfen, ob eine betroffene Version im Einsatz ist.

Was sollten Sie tun?

CERT-FR empfiehlt Nutzenden, die eigenen Sicherheitsmeldungen von Spring zu konsultieren, um die entsprechenden Patches zu erhalten. Wenn Sie mit einer Entwicklerin, einem Entwickler oder einem Managed-Hosting-Anbieter zusammenarbeiten, leiten Sie diesen Hinweis weiter und bitten Sie um Bestätigung, ob Ihre Systeme auf dem aktuellen Stand sind. Das zeitnahe Einspielen von Sicherheits-Patches ist eine der wirksamsten Maßnahmen, um Ihr Unternehmen und die Daten Ihrer Kundinnen und Kunden zu schützen.

Wenn Sie nicht sicher sind, ob Ihre Website Spring verwendet, kann Ihre Entwicklerin oder Ihr Entwickler Ihnen das mitteilen. Allgemeine Hinweise zur Absicherung Ihrer Website finden Sie in unserer Sicherheits-Checkliste für kleine Unternehmen. Wenn Ihre Website auf WordPress basiert, lohnt sich auch ein Blick in unseren Leitfaden zu anfälligen Plugins, da veraltete Komponenten ein häufiger Einstiegspunkt für Angreifer sind.

Was bedeutet das für Ihre Website?

Wenn Ihre Website oder damit verbundene Tools auf Spring basieren, sollten Sie Ihre Entwicklerin, Ihren Entwickler oder Ihren Hosting-Anbieter bitten, die in den Sicherheitsmeldungen von Spring beschriebenen Patches zu prüfen und einzuspielen. Nach der DSGVO sind Sie dafür verantwortlich, die personenbezogenen Daten Ihrer Kundinnen und Kunden sicher zu verwahren, und ungepatchte Software kann diese Daten gefährden. Software-Updates konsequent einzuspielen ist eine praktische und kostengünstige Möglichkeit, dieser Verantwortung nachzukommen.