关键信息 漏洞描述 CVE编号: CVE-2025-41234 漏洞类型: RFD Attack via “Content-Disposition” Header Sourced from Request 影响版本: - Spring Framework: 6.2.0 to 6.2.7, 6.1.0 to 6.1.20, 6.0.5 to 6.0.28 漏洞详情: - 应用程序在设置“Content-Disposition”头时,如果文件名属性来自用户提供的输入且使用非ASCII字符集,则易受反射式文件下载(RFD)攻击。 - 攻击者可以通过注入恶意命令到下载内容中进行攻击。 影响的Spring产品和版本 Spring Framework: - 6.2.x: 6.2.0 - 6.2.7 - 6.1.x: 6.1.0 - 6.1.20 - 6.0.x: 6.0.5 - 6.0.28 - 更旧的不受支持版本不受影响。 缓解措施 受影响版本及修复版本: 致谢 报告者: Jakob Linskeseder from the Dynatrace Security Team 参考资料 NVD Spring Security Advisory 历史记录 发布日期: 2025-06-12