spring
CVE-2026-40981:Spring Cloud Config 客户端可能访问 Google Secrets Manager 中非预期项目的密钥
高危 | 2026年5月6日 | CVE-2026-40981
描述
当 Spring Cloud Config Server 使用 Google Secrets Manager 作为后端配置源时,客户端可能通过构造特定请求访问配置服务器可访问范围内的密钥数据。也就是说,如果配置服务器本身拥有多个 GCP 项目的 Secret 访问权限,攻击者或非授权客户端可能绕过原本预期的项目边界,读取来自其他 GCP 项目的敏感信息。
该问题的风险点在于,Spring Cloud Config 通常用于集中管理应用配置,而 Google Secrets Manager 中往往存放数据库密码、访问令牌、API Key、第三方服务凭据等敏感内容。一旦配置服务器权限范围过宽,客户端请求校验又不够严格,就可能导致密钥暴露到不该访问这些信息的应用或用户手中。
受影响的 Spring 产品和版本
受影响产品为 Spring Cloud Config,涉及以下版本:
● 3.1.x
● 4.1.x
● 4.2.x
● 4.3.x
● 5.0.x
● 更早且已停止支持的版本同样受到影响
缓解措施
受影响版本的用户应尽快升级到对应的修复版本。升级后,配置服务器会对相关访问逻辑进行修正,降低客户端跨项目读取密钥的风险。
如果暂时无法升级到上述修复版本,可以通过启用以下配置作为临时缓解措施:
spring.cloud.config.server.gcp-secret-manager.token-mandatory=true
启用后,客户端需要发送有效令牌,配置服务器会验证该令牌是否具备访问所请求项目中密钥的权限。这样可以减少客户端随意构造请求访问其他项目 Secret 的风险。
处理建议
建议运维和开发团队优先检查三类内容:一是当前 Spring Cloud Config 的实际版本是否处于受影响范围;二是 Config Server 在 GCP 中拥有的 Secrets Manager 权限是否过大;三是客户端访问配置中心时是否具备明确的身份校验和项目边界控制。
对于生产环境,不建议让配置服务器拥有超出业务需要的跨项目密钥访问权限。应按照最小权限原则,为不同项目、不同应用拆分访问权限,并尽快完成版本升级或临时配置加固。
