漏洞概述 CVE-2026-41695: Spring Data Commons 属性路径解析中的拒绝服务漏洞 描述: Spring Data Commons 应用程序可能因资源耗尽而遭受拒绝服务攻击,当攻击者控制的属性路径字符串被传递给 属性路径解析时。 具体条件: - 攻击者控制的输入用作属性路径字符串进行路径解析。 - 消费模块或应用程序将此解析暴露给不受信任的调用者(例如,在使用 Spring Data REST 时)。 - 目标域类型包含递归或足够深嵌套的属性图,或者攻击者可以提交大量唯一的无效路径。 影响范围 受影响的 Spring 产品和版本: - Spring Data Commons: - 4.0.0 - 4.0.5 - 3.5.0 - 3.5.11 - 3.4.0 - 3.4.14 修复方案 缓解措施: - 受影响版本的应升级到对应的修复版本。 - 修复版本: - 4.0.x -> 4.0.6 (OSS) - 3.5.x -> 3.5.12 (OSS) - 3.4.x -> 3.4.15 (Enterprise Support Only) 其他缓解步骤: 无其他缓解步骤是必要的。 参考 CVSS 3.1 向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H, 基础评分 7.5 High 历史 2026-06-09: 初始漏洞报告发布。 报告漏洞 要报告 Spring 项目组合中的安全漏洞,请参阅 安全政策。 --- 总结 该漏洞涉及 Spring Data Commons 的属性路径解析功能,可能导致拒绝服务攻击。受影响版本包括 4.0.0 - 4.0.5、3.5.0 - 3.5.11 和 3.4.0 - 3.4.14。建议用户升级到相应的修复版本以解决此问题。