Spring Security 和 Spring Framework 团队已合作发布了以下 CVE 的修复。

• CVE-2025-41248: Spring Security 在泛型超类型上针对方法安全注解的授权绕过
• CVE-2025-41249: Spring Framework 注解检测漏洞

这两个 CVE 报告都涉及在使用具有无界泛型的参数化超类型的类型层次结构中的方法上使用安全注解时可能遇到的漏洞。有关更多详细信息，请参阅各个 CVE 报告。

CVE-2025-41248

Spring Security 6.4.11 和 6.5.5 开源版本解决了 CVE-2025-41248。

CVE-2025-41249

Spring Framework 6.2.11 开源版本解决了 CVE-2025-41249。

Spring Framework 5.3.x 和 6.1.x 世代的开源支持已终止；但是，此修复已应用于 Spring Framework 5.3.45 和 6.1.23 商业版本，现已发布。

如果您不是商业客户，请尽快考虑升级到受支持的 Spring Framework 开源版本。使用 Spring Boot 2.7、3.2 或 3.3 的商业客户可以使用 Spring Boot Hotfix 版本 2.7.29.1、3.2.18.1 和 3.3.15.1。这些版本现已在 Spring 商业制品库中发布，可通过 Spring Enterprise Subscription 访问。