CVE-2026-41721: Spring Data Commons Denial of Service via Data Binding 漏洞概述 Spring Data Commons 存在一个漏洞,当 Spring Data Web Support 与使用 的 Controller 方法结合使用时,攻击者可以发送特制的 HTTP 请求,导致应用程序分配大量内存,从而引发拒绝服务(DoS)条件。 影响范围 Spring Data Commons 4.0.0 到 4.0.5 Spring Data Commons 3.5.0 到 3.5.11 Spring Data Commons 3.4.0 到 3.4.14 Spring Data Commons 3.3.0 到 3.3.16 Spring Data Commons 3.2.0 到 3.2.15 Spring Data Commons 3.1.0 到 3.1.14 Spring Data Commons 3.0.0 到 3.0.15 Spring Data Commons 2.7.0 到 2.7.19 其他不受支持的版本 修复方案 受影响版本的用户应升级到对应的修复版本: 4.0.x 升级到 4.0.6(OSS) 3.5.x 升级到 3.5.12(OSS) 3.4.x 升级到 3.4.15(仅限企业支持) 3.3.x 升级到 3.3.17(仅限企业支持) 2.7.x 升级到 2.7.20(仅限企业支持) 参考链接 NIST CVSS 计算器 历史 2026-06-09: 初始漏洞报告发布。