領先一步
VMware 提供培訓和認證,助您加速進步。
瞭解更多CVE-2025-41242:在不合規的Servlet容器上存在路徑遍歷漏洞
描述
當部署在不合規的Servlet容器上時,Spring Framework MVC應用程式可能容易受到“路徑遍歷漏洞”的影響。
當滿足以下所有條件時,應用程式可能存在漏洞:
我們已驗證,只要配置中未停用預設安全功能,部署在Apache Tomcat或Eclipse Jetty上的應用程式就不易受攻擊。由於我們無法針對所有Servlet容器和配置變體檢查漏洞利用,因此強烈建議您升級應用程式。
受影響的 Spring 產品和版本
Spring Framework
- 6.2.0 - 6.2.9
- 6.1.0 - 6.1.21
- 6.0.0 - 6.0.29
- 5.3.0 - 5.3.43
- 較舊的、不受支援的版本也受到影響。
緩解措施
受影響版本的使用者應升級到相應的修復版本。
| 受影響版本 | 修復版本 | 可用性 |
|---|---|---|
| 6.2.x | 6.2.10 | OSS |
| 6.1.x | 6.1.22 | 商業 |
| 6.0.x | 不適用 | 停止支援 |
| 5.3.x | 5.3.44 | 商業 |
無需進一步的緩解措施。
致謝
此問題由Vidar-Team的1ue和b1u3r以及Webtide的Joakim Erdfelt負責任地報告。
參考資料
歷史
- 2025-08-14:初步漏洞報告發布。
報告漏洞
要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略