领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2025-41242:在不合规的Servlet容器上存在路径遍历漏洞
描述
当部署在不合规的Servlet容器上时,Spring Framework MVC应用程序可能容易受到“路径遍历漏洞”的影响。
当满足以下所有条件时,应用程序可能存在漏洞:
我们已验证,只要配置中未禁用默认安全功能,部署在Apache Tomcat或Eclipse Jetty上的应用程序就不易受攻击。由于我们无法针对所有Servlet容器和配置变体检查漏洞利用,因此强烈建议您升级应用程序。
受影响的 Spring 产品和版本
Spring Framework
- 6.2.0 - 6.2.9
- 6.1.0 - 6.1.21
- 6.0.0 - 6.0.29
- 5.3.0 - 5.3.43
- 较旧的、不受支持的版本也受到影响。
缓解措施
受影响版本的用户应升级到相应的修复版本。
| 受影响版本 | 修复版本 | 可用性 |
|---|---|---|
| 6.2.x | 6.2.10 | OSS |
| 6.1.x | 6.1.22 | 商业 |
| 6.0.x | 不适用 | 停止支持 |
| 5.3.x | 5.3.44 | 商业 |
无需进一步的缓解措施。
致谢
此问题由Vidar-Team的1ue和b1u3r以及Webtide的Joakim Erdfelt负责任地报告。
参考资料
历史
- 2025-08-14:初步漏洞报告发布。
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略