CVE-2026-22748: 使用 withIssuerLocation 时潜在的安全配置错误 漏洞概述 当应用程序配置 JWT 解码器( 或 )时,必须单独配置 (例如通过调用 )。 在使用 或 时,这很容易被忽略,因为添加发行者验证会被解释为自动添加。 影响范围 受影响版本: Spring Security 6.3.0 - 6.3.14 Spring Security 6.4.0 - 6.4.14 Spring Security 6.5.0 - 6.5.9 Spring Security 7.0.0 - 7.0.4 其他不受支持的版本 修复方案 受影响版本的用户应升级到对应的修复版本: 注意:** 如果升级导致问题(由于不需要的发行者验证),可以通过以下方式更改为早期默认值: