CVE-2026-41837: Spring Data REST Querydsl integration exposes Jackson-hidden persistent fields as filter keys 漏洞概述 Spring Data REST 的 Querydsl 集成接受任意持久属性路径作为请求参数过滤器键,并且在将它们传递给 Querydsl 之前不考虑 Jackson 自定义。 影响范围 Spring Data REST: 3.7.0 - 3.7.19 4.3.0 - 4.3.16 4.4.0 - 4.4.14 4.5.0 - 4.5.11 5.0.0 - 5.0.5 修复方案 受影响版本的应升级到对应的修复版本。 在升级之前,应用程序可以通过实现 并在每个受影响的存储库上调用 以及显式允许过滤的属性路径列表来缓解问题。