CVE-2026-22746: 使用 DaoAuthenticationProvider 时的用户属性枚举漏洞 漏洞概述 当应用程序使用 并启用了 、 或 用户属性来启用、过期或锁定用户时, 的时序攻击防御可以被绕过,从而允许攻击者枚举被禁用、过期或锁定的用户。 漏洞编号: CVE-2026-22746 发布日期: 2026-04-20 严重程度: LOW 影响范围 受影响的 Spring Security 版本: 5.7.0 - 5.7.22 5.8.0 - 5.8.24 6.3.0 - 6.3.15 6.4.0 - 6.4.15 6.5.0 - 6.5.9 7.0.0 - 7.0.4 其他旧版且不受支持的版本也受影响 修复方案 受影响版本的用户应升级到对应修复版本: 额外说明: 此版本还引入了 设置器。如果升级导致问题,可以将其设置为 。 参考链接 NVD 漏洞详情 历史 2026-04-20: 初始漏洞报告发布