漏洞概述 CVE编号: CVE-2026-41711 发布日期: 2026年6月9日 严重程度: 中等 描述: 使用Spring Data Commons的应用程序在解析 参数时可能遭受拒绝服务(DoS)攻击,导致 。此问题发生在应用程序显式暴露接受 参数的端点且未进行 sanitization 或端点参数标注为 或 时。 影响范围 受影响产品: Spring Data Commons 受影响版本: - 4.0.0 至 4.0.5 - 3.5.0 至 3.5.11 - 3.4.0 至 3.4.14 - 3.3.0 至 3.3.16 - 3.2.0 至 3.2.15 - 3.1.0 至 3.1.14 - 3.0.0 至 3.0.15 - 2.7.0 至 2.7.19 - 其他不受支持的版本 修复方案 建议: 受影响版本的用户应升级到对应的修复版本,并确保任何用于排序的未信任输入在处理后得到适当 sanitization。 具体修复版本: - 4.0.x → 4.0.6 (OSS) - 3.5.x → 3.5.12 (OSS) - 3.4.x → 3.4.15 (Enterprise Support Only) - 3.3.x → 3.3.17 (Enterprise Support Only) - 2.7.x → 2.7.20 (Enterprise Support Only) 参考链接 NVD CVSS v3 Calculator 历史记录 2026-06-09: 初始漏洞报告发布。 报告漏洞 如需报告Spring项目中的安全漏洞,请参阅安全政策。 --- 注意: 页面中未包含POC代码或利用代码。