CVE-2026-41007: Spring HATEOAS heap exhaustion through unbounded internal caching 漏洞概述 Spring HATEOAS 维护了一个无界的静态缓存,用于存储 实例,这些实例以攻击者提供的字符串为键。受影响的 application 是那些反序列化攻击者提供的超媒体(例如通过 绑定到 、 或 ,或通过调用 / 在客户端提供的 头中)。 影响范围 Spring HATEOAS: - 1.5.0 - 1.5.6 - 2.3.0 - 2.3.4 - 2.4.0 - 2.4.1 - 2.5.0 - 2.5.2 - 3.0.0 - 3.0.3 修复方案 受影响版本的应升级到对应的修复版本: 1.5.x -> 1.5.7 (Enterprise Support Only) 2.3.x -> 2.3.5 (Enterprise Support Only) 2.4.x -> 2.4.2 (Enterprise Support Only) 2.5.x -> 2.5.3 (OSS) 3.0.x -> 3.0.4 (OSS) 参考链接 NVD CVE-2026-41007 历史 2026-06-08: 初始漏洞报告发布。