Spring Security 和 Spring Framework 團隊已合作釋出了以下 CVE 的修復。

• CVE-2025-41248: Spring Security 在泛型超型別上針對方法安全註解的授權繞過
• CVE-2025-41249: Spring Framework 註解檢測漏洞

這兩個 CVE 報告都涉及在使用具有無界泛型的引數化超型別的型別層次結構中的方法上使用安全註解時可能遇到的漏洞。有關更多詳細資訊，請參閱各個 CVE 報告。

CVE-2025-41248

Spring Security 6.4.11 和 6.5.5 開源版本解決了 CVE-2025-41248。

CVE-2025-41249

Spring Framework 6.2.11 開源版本解決了 CVE-2025-41249。

Spring Framework 5.3.x 和 6.1.x 世代的開源支援已終止；但是，此修復已應用於 Spring Framework 5.3.45 和 6.1.23 商業版本，現已釋出。

如果您不是商業客戶，請儘快考慮升級到受支援的 Spring Framework 開源版本。使用 Spring Boot 2.7、3.2 或 3.3 的商業客戶可以使用 Spring Boot Hotfix 版本 2.7.29.1、3.2.18.1 和 3.3.15.1。這些版本現已在 Spring 商業製品庫中釋出，可透過 Spring Enterprise Subscription 訪問。