漏洞概述 CVE编号: CVE-2026-40997 发布日期: 2026年6月10日 严重程度: 中等 描述: Spring Web Services集成路径中的SOAP安全漏洞可能导致账户状态信息泄露。攻击者可以通过远程SOAP客户端利用异常消息或回调结果,区分有效账户和无效账户,从而推断生命周期状态,实现用户枚举和信息披露。 影响范围 受影响的产品和版本: - Spring Web Services: - 5.0.0 - 5.0.1 - 4.1.0 - 4.1.3 - 4.0.0 - 4.0.18 - 3.1.0 - 3.1.8 - 不再支持的版本也受到影响。 修复方案 缓解措施: - 用户应升级到对应的修复版本。 - 具体修复版本如下: - 5.0.x -> 5.0.2 (OSS) - 5.0.x -> 5.0.1.1 (Enterprise Support Only) - 4.1.x -> 4.1.4 (OSS) - 4.1.x -> 4.1.3.1 (Enterprise Support Only) - 4.0.x -> 4.0.19 (Enterprise Support Only) - 3.1.x -> 3.1.9 (Enterprise Support Only) 其他信息 参考链接: NVD CVE-2026-40997 历史: 2026年6月10日,初始漏洞报告发布。 代码块 页面中未包含POC代码或利用代码。