Spring 团队正式发布了 Spring Framework 6.2.10,新版本包含 11 个修复和文档改进。其中最重要的是修复了 CVE-2025-41242 漏洞,即 “Path Traversal Vulnerability on non-compliant Servlet containers” (部署在不严格校验路径的 Servlet 容器上可能导致路径遍历)。
根据 Spring 安全公告, CVE-2025-41242 路径遍历漏洞(“Path Traversal Vulnerability”)属于 中等风险级别(MEDIUM)。
漏洞触发条件:
-
应用部署为 WAR 或使用嵌入式 Servlet 容器;
-
所用 Servlet 容器未能拒绝类似
../的路径跳转; -
应用使用 Spring 的静态资源处理(如
ResourceHandler)来提供资源。 -
在这些条件都满足时,恶意用户可能构造路径(例如
../../)执行 路径遍历攻击,访问服务器上非预期的敏感文件。
详情查看 https://spring.io/blog/2025/08/14/spring-framework-6-2-10-release-fixes-cve-2025-41242
为您推荐与 spring 相关的帖子:
- Spring Data 2024.1.0 RC1 发布
- Spring Modulith 2.0 M1 发布
- Spring Tools 4.32.0 发布
- Spring Boot 3.5.5 版本发布
- Spring AI 1.0.1 发布
- Spring Boot 4.0.0 正式发布
- Spring Batch 6.0.0 GA
- Spring Shell 4.0.0 GA
- Spring Framework 7.0.3 发布
- Spring Security 7.1.0-M1 发布
- Spring Integration 7.1.0-M1 发布
- Spring AI 2.0.0-M2 现已发布
- Spring Modulith 2.1 M1、2.0.2 和 1.4.7 发布
- Spring Integration 7.0.0 发布
- Spring Boot 3.4.8 版本发布
- Spring Boot 4.0.0 M1 发布
- Spring boot v3.3.4 发布
- Spring Boot 3.4.0-M3 发布
- Spring Security 6.4.0-M2 发布
- Spring Framework 6.1.12、6.0.23、5.3.39 和 6.2.0-M7 发布
- Spring Framework 6.1.11 发布
- Spring Modulith 1.1.6 和 1.2.1 发布
- Spring Tools 4.23.1 发布,Spring 开发工具
- Spring Tools 4.23.0 发布,Spring 开发工具
- Spring AI 1.0.0 M1 发布
- Spring Cloud Tencent 1.13 版本发布
- Spring AI 0.8.1 发布
- Spring Tools 4.21.0 发布,Spring 开发工具
- Spring Cloud 2023.0.0 (Leyton) 正式发布
- Spring Boot 3.2.0 正式发布
暂无回复。
