漏洞概述 CVE-2026-41729: Spring Data REST SpEL Injection via Map Key in JSON Patch 严重程度: 高 发布日期: 2026年6月9日 描述: Spring Data REST 在处理 JSON Patch ( ) 请求时,存在通过 map 类型属性进行 SpEL 表达式注入的漏洞。当持久化实体暴露一个 类型的属性时,JSON Pointer 路径段作为 map 键直接嵌入到 SpEL 表达式中,未经过任何 sanitization 或验证。攻击者可以构造一个 map 键段,突破预期的索引器字面量,并在聚合根的上下文中评估任意 SpEL 子表达式。 影响范围 受影响的 Spring 产品和版本: - Spring Data REST: - 3.7.0 - 3.7.19 - 4.3.0 - 4.3.16 - 4.4.0 - 4.4.14 - 4.5.0 - 4.5.11 - 5.0.0 - 5.0.5 前提条件: - 暴露的聚合体或嵌套的嵌入式类型通过 patch 路径声明了一个 类型的持久化属性。 - 攻击者能够以 向项目资源发起 请求(默认启用;认证要求取决于应用程序的安全配置)。 修复方案 Mitigation: - 受影响版本的应升级到对应的修复版本。 Credit 报告者: Daehyun Kang (@daehyuh) 邮箱: daehyuh@gmail.com References NVD CVSS Calculator History 2026-06-09: 初始漏洞报告发布。