CVE-2026-41844: Spring Framework Open Redirect in Spring MVC and WebFlux 漏洞概述 描述: Spring MVC 或 Spring WebFlux 应用程序中,如果配置了映射为 且视图名称未明确指定,攻击者可以构造链接导致 302 重定向到任意外部主机(通过 前缀)。 影响: Spring MVC 应用程序在相同前提条件下,攻击者还可以构造链接导致内部重定向(通过 前缀)。 影响范围 受影响的 Spring 产品版本: - Spring Framework: - 7.0.0 - 7.0.7 - 6.2.0 - 6.2.18 - 6.1.0 - 6.1.27 - 5.3.0 - 5.3.48 - 不再支持的版本也受到影响。 修复方案 缓解措施: 受影响版本的应升级到对应的修复版本。 - 7.0.x → 7.0.8 (OSS), 7.0.7.1 (Commercial) - 6.2.x → 6.2.19 (OSS), 6.2.18.1 (Commercial) - 6.1.x → 6.1.28 (Commercial) - 5.3.x → 5.3.49 (Commercial) 其他信息 信用: 此问题由内部发现。 参考: NVD 链接 历史: 2026-06-08: 初始漏洞报告发布。