漏洞概述 CVE编号: CVE-2026-41856 漏洞名称: Spring GraphQL Annotation Detection Vulnerability 严重程度: 高 发布日期: 2026年6月10日 描述: Spring GraphQL的注解检测机制在处理 数据获取器时,可能无法正确解析方法内的类型层次结构中的注解。如果这些注解用于授权决策,可能会导致安全问题。 影响范围 受影响的产品和版本: - Spring for GraphQL: - 2.0.0 - 2.0.3 - 1.4.0 - 1.4.5 - 1.3.0 - 1.3.8 - 1.0.0 - 1.0.6 漏洞条件: - 应用程序在类路径上有Spring Security - 应用程序依赖Spring Security的 特性进行安全检查 - 应用程序在类型层次结构中实现了 类 修复方案 受影响版本的修复版本: - 2.0.x -> 2.0.4 (OSS) - 1.4.x -> 1.4.6 (OSS) - 1.3.x -> 1.3.9 (Commercial) - 1.0.x -> 1.0.7 (Commercial) 建议: 用户应升级到对应的修复版本。 其他信息 报告者: Bofei Chen 参考链接: NVD CVE-2026-41856 历史: 2026-06-10: 初始漏洞报告发布 总结 该漏洞涉及Spring GraphQL在处理 注解时的类型层次结构解析问题,可能导致授权决策的安全问题。受影响的用户应尽快升级到指定的修复版本。