CVE-2026-41003: Unencoded HTML Outputs in Spring Security May Allow Cross-Site Scripting 漏洞概述 漏洞编号: CVE-2026-41003 发布日期: 2026年6月9日 严重程度: 高 描述: 攻击者能够影响 中的值,可能在由 Spring Security 过滤器生成的 HTML 表单中运行任意代码。 影响范围 受影响的产品和版本: - Spring Security: - 5.7.0 - 5.7.23 - 5.8.0 - 5.8.25 - 6.3.0 - 6.3.16 - 6.4.0 - 6.4.16 - 6.5.0 - 6.5.10 - 7.0.0 - 7.0.5 - 其他不受支持的版本也受影响。 修复方案 缓解措施: 受影响版本的应升级到相应的修复版本。 修复版本: - 5.7.x -> 5.7.24 (仅限企业支持) - 5.8.x -> 5.8.26 (仅限企业支持) - 6.3.x -> 6.3.17 (仅限企业支持) - 6.4.x -> 6.4.17 (仅限企业支持) - 6.5.x -> 6.5.11 (OSS) - 7.0.x -> 7.0.6 (OSS) 参考链接 NVD 漏洞指标计算器 历史 2026-06-09: 初始漏洞报告发布。