CVE-2026-41696: Spring Data MongoDB Bind Parameter Literal Quoting Breakout 漏洞概述 Spring Data MongoDB 的 注解中,使用正则参数绑定(如 )时,对绑定参数的验证不足。攻击者可以构造恶意字符串,突破预期的正则表达式引用,导致未授权的数据泄露或绕过预期的查询过滤器。 影响范围 Spring Data MongoDB 以下版本: 5.0.0 到 5.0.5 4.5.0 到 4.5.11 4.4.0 到 4.4.14 4.3.0 到 4.3.16 4.2.0 到 4.2.15 4.1.0 到 4.1.14 4.0.0 到 4.0.15 3.4.0 到 3.4.19 其他不受支持的版本 修复方案 受影响版本的用户应升级到对应的修复版本: 5.0.x 升级到 5.0.6 (OSS) 4.5.x 升级到 4.5.12 (OSS) 4.4.x 升级到 4.4.15 (Enterprise Support Only) 4.3.x 升级到 4.3.17 (Enterprise Support Only) 3.4.x 升级到 3.4.20 (Enterprise Support Only) 参考链接 NVD 漏洞详情 历史 2026-06-09: 初始漏洞报告发布。