漏洞概述 CVE编号: CVE-2026-40995 标题: X.509 authentication bypasses Spring Security account checks 描述: 在提供的证书映射到 时,可以发出一个完全认证的 ,而无需应用 Spring Security 的标准账户生命周期检查(禁用、锁定、过期或凭证过期的账户)。这种行为适用于从 解析的用户以及缓存条目,因此应该被拒绝的账户在相互 TLS 或基于证书的 SOAP 认证时仍可以认证。前提条件包括通过 Spring WS X.509 集成连接的基于证书的认证,以及用户记录处于不应认证的非常驻安全状态。 影响范围 受影响的 Spring 产品和版本: - Spring Web Services: - 5.0.0 - 5.0.1 - 4.1.0 - 4.1.3 - 4.0.0 - 4.0.18 - 3.1.0 - 3.1.8 - 不再支持的版本也受到影响。 修复方案 缓解措施: 受影响版本的应升级到对应的修复版本。 - 5.0.x -> 5.0.2 (OSS) - 5.0.x -> 5.0.1.1 (Enterprise Support Only) - 4.1.x -> 4.1.4 (OSS) - 4.1.x -> 4.1.3.1 (Enterprise Support Only) - 4.0.x -> 4.0.19 (Enterprise Support Only) - 3.1.x -> 3.1.9 (Enterprise Support Only) 参考: - NVD 链接 历史: - 2026-06-10: 初始漏洞报告发布。 POC代码或利用代码 页面中未包含 POC 代码或利用代码。