漏洞概述 漏洞编号: CVE-2026-40994 漏洞名称: Wss4jSecurityInterceptor disables WS-I BSP validation by default 发布日期: 2026-06-10 严重程度: HIGH 描述: - 初始化其 BSP(WS-I Basic Security Profile)合规标志,以便在入站验证中禁用 WSS4J BSP 强制执行。这与预期的安全默认设置和发布的 setter 合同相矛盾。 - 在网络中验证 WS-Security 的服务可能会接受违反 BSP 规则的消息,从而削弱协议级别的检查,这些检查旨在约束互操作、安全的 WS-Security 使用。 - 前提条件包括使用 (或等效配置)进行入站验证,而未明确启用 BSP 合规性。 影响范围 受影响的 Spring 产品版本: - Spring Web Services: - 5.0.0 - 5.0.1 - 4.1.0 - 4.1.3 - 4.0.0 - 4.0.18 - 3.1.0 - 3.1.8 - 不再支持的版本也受到影响。 修复方案 建议: 受影响版本的应升级到相应的修复版本。 修复版本: - 5.0.x -> 5.0.2 (OSS) - 5.0.x -> 5.0.1.1 (Enterprise Support Only) - 4.1.x -> 4.1.4 (OSS) - 4.1.x -> 4.1.3.1 (Enterprise Support Only) - 4.0.x -> 4.0.19 (Enterprise Support Only) - 3.1.x -> 3.1.9 (Enterprise Support Only) 临时措施: 如果无法升级,可以通过调用 setter 方法并传入 作为参数来显式启用 BSP 合规性。 参考链接 NVD 漏洞指标计算器 历史 2026-06-10: 初始漏洞报告发布。 报告漏洞 要报告 Spring 组合内项目的安全漏洞,请参阅 安全政策。 --- 注意: 页面中未包含 POC 代码或利用代码。