領先一步
VMware 提供培訓和認證,助您加速進步。
瞭解更多CVE-2025-41254: Spring Framework STOMP CSRF 漏洞
描述
基於 WebSocket 的 STOMP 應用程式可能存在安全繞過漏洞,允許攻擊者傳送未經授權的訊息。
受影響的 Spring 產品和版本
Spring Framework
- 6.2.0 - 6.2.11
- 6.1.0 - 6.1.23
- 6.0.x - 6.0.29
- 5.3.0 - 5.3.45
- 較舊的、不受支援的版本也受到影響。
緩解措施
受影響版本的使用者應升級到相應的修復版本。
| 受影響版本 | 修復版本 | 可用性 |
|---|---|---|
| 6.2.x | 6.2.12 | OSS |
| 6.1.x | 6.1.24 | 商業 |
| 6.0.x | 不適用 | 停止支援 |
| 5.3.x | 5.3.46 | 商業 |
無需進一步的緩解措施。
致謝
此漏洞由 Jannis Kaiser 發現並負責任地報告。
參考資料
歷史
- 2025-10-16: 初步漏洞報告發布。
報告漏洞
要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略