CVE-2026-22751: Spring Security JdbcOneTimeTokenService 漏洞总结 漏洞概述 漏洞编号: CVE-2026-22751 严重程度: 中等 (MEDIUM) 发布日期: 2026年4月21日 描述: 显式配置使用 进行一次性令牌登录的应用程序存在时间检查-使用 (TOCTOU) 竞态条件。攻击者可以使用有效的一次性令牌向认证端点发送并发请求,允许该单次令牌被多次消耗,从而建立多个已认证会话。 注意: 默认的 是线程安全的,不受此漏洞影响。 影响范围 以下 Spring Security 版本受影响: 6.4.0 - 6.4.15 6.5.0 - 6.5.9 7.0.0 - 7.0.4 修复方案 受影响版本的用户应升级到对应的修复版本: 参考信息 Credit: 由 Jinyeong Seol (@SeolJY) 发现并负责任地报告。 References: NVD CVE-2026-22751