漏洞概述 CVE-2026-41697: Spring Data Relational 中的参数未正确转义,导致在查询示例(QBE)中使用 (STARTING、ENDING 或 CONTAINING)时可能引发安全问题。攻击者可以通过提供通配符字符进行布尔盲数据推断,从而猜测查询实体中的数据。 影响范围 Spring Data Relational: - 4.0.0 - 4.0.5 - 3.5.0 - 3.5.11 - 3.4.0 - 3.4.14 - 3.3.0 - 3.3.16 - 3.2.0 - 3.2.15 - 3.1.0 - 3.1.0.14 - 3.0.0 - 3.0.15 - 2.4.0 - 2.4.19 - 旧的不受支持的版本 Spring Data JDBC (通过 Spring Data Relational): - 4.0.0 - 4.0.5 - 3.5.0 - 3.5.11 - 3.4.0 - 3.4.14 - 3.3.0 - 3.3.16 - 3.2.0 - 3.2.15 - 3.1.0 - 3.1.0.14 - 3.0.0 - 3.0.15 - 2.4.0 - 2.4.19 - 旧的不受支持的版本 Spring Data R2DBC (通过 Spring Data Relational): - 4.0.0 - 4.0.5 - 3.5.0 - 3.5.11 - 3.4.0 - 3.4.14 - 3.3.0 - 3.3.16 - 3.2.0 - 3.2.15 - 3.1.0 - 3.1.0.14 - 3.0.0 - 3.0.15 - 1.5.0 - 1.5.19 - 旧的不受支持的版本 修复方案 用户应升级到对应的修复版本: 4.0.x -> 4.0.6 (OSS) 3.5.x -> 3.5.12 (OSS) 3.4.x -> 3.4.15 (Enterprise Support Only) 3.3.x -> 3.3.17 (Enterprise Support Only) 2.4.x -> 2.4.20 (Enterprise Support Only) 参考链接 NVD 漏洞指标 历史 2026-06-09: 初始漏洞报告发布。