漏洞概述 CVE编号: CVE-2026-41855 发布日期: 2026年6月8日 严重程度: 高危 描述: 在不受信任的JMS环境中, 和 允许任意类实例化,可能导致通过gadget类反序列化进行未授权操作。 影响范围 受影响的Spring产品版本: - Spring Framework: - 7.0.0 - 7.0.7 - 6.2.0 - 6.2.18 - 6.1.0 - 6.1.27 - 5.3.0 - 5.3.48 - 不再支持的版本也受到影响。 修复方案 缓解措施: - 对于受信任的JMS环境(最常见的用例),不需要采取任何缓解步骤。 - 对于不受信任的JMS环境,受影响版本的应升级到相应的固定版本,并使用新的 方法限制用于反序列化的包。 具体修复版本: - 7.0.x -> 7.0.8 (OSS), 7.0.7.1 (Commercial) - 6.2.x -> 6.2.19 (OSS), 6.2.18.1 (Commercial) - 6.1.x -> 6.1.28 (Commercial) - 5.3.x -> 5.3.49 (Commercial) 其他信息 报告者: 该问题由 负责任地报告。 参考链接: NVD链接 历史记录: 2026-06-08: 初始漏洞报告发布。 代码块 页面中未包含POC代码或利用代码。