漏洞概述 漏洞名称: CVE-2026-41720 漏洞描述: Spring LDAP 的 实现不会拒绝绑定请求,当非空用户名与空或 null 密码配对时。RFC 4513 Section 5.1.2 将此定义为未认证绑定。在允许此类绑定的 LDAP 服务器上,攻击者可以使用有效用户名和空密码绕过密码验证。 影响版本: - Spring LDAP: 2.4.0 - 2.4.4, 3.2.0 - 3.2.17, 3.3.0 - 3.3.7, 4.0.0 - 4.0.3 - 不受支持的版本也受到影响。 影响范围 受影响的产品和版本: - Spring LDAP: 2.4.0 - 2.4.4, 3.2.0 - 3.2.17, 3.3.0 - 3.3.7, 4.0.0 - 4.0.3 - 不受支持的版本也受到影响。 修复方案 修复版本: - 2.4.x -> 2.4.5 (Enterprise Support Only) - 3.2.x -> 3.2.18 (Enterprise Support Only) - 3.3.x -> 3.3.8 (OSS) - 4.0.x -> 4.0.4 (OSS) 其他缓解措施: 无需进一步缓解措施。 参考链接 NVD CVSS 计算器 历史 2026-06-08: 初始漏洞报告发布。