💡
原文英文,约200词,阅读约需1分钟。
📝
内容提要
Spring Security和Spring Framework已发布针对CVE-2025-41248和CVE-2025-41249的修复,涉及无界泛型参数化超类型中的方法安全注解。Spring Security 6.4.10和6.5.4修复了CVE-2025-41248,Spring Framework 6.2.11修复了CVE-2025-41249。建议用户尽快升级到支持的版本。
🎯
关键要点
- Spring Security和Spring Framework发布了针对CVE-2025-41248和CVE-2025-41249的修复。
- CVE-2025-41248涉及Spring Security在参数化类型上的方法安全注解的授权绕过。
- CVE-2025-41249涉及Spring Framework的注解检测漏洞。
- 这两个CVE报告涉及在无界泛型参数化超类型的类型层次结构中使用安全注解时可能遇到的漏洞。
- Spring Security 6.4.10和6.5.4修复了CVE-2025-41248。
- Spring Framework 6.2.11修复了CVE-2025-41249。
- Spring Framework 5.3.x和6.1.x的开源支持已结束,但修复已应用于商业版本5.3.45和6.1.23。
- 建议非商业客户尽快升级到支持的开源版本。
- 商业客户可以使用Spring Boot Hotfix版本2.7.29.1、3.2.18.1和3.3.15.1。
❓
延伸问答
CVE-2025-41248和CVE-2025-41249分别是什么漏洞?
CVE-2025-41248是Spring Security在参数化类型上的方法安全注解的授权绕过漏洞,CVE-2025-41249是Spring Framework的注解检测漏洞。
哪些版本的Spring Security和Spring Framework修复了这些漏洞?
Spring Security 6.4.10和6.5.4修复了CVE-2025-41248,Spring Framework 6.2.11修复了CVE-2025-41249。
如果我使用的是Spring Framework 5.3.x或6.1.x,应该怎么做?
Spring Framework 5.3.x和6.1.x的开源支持已结束,建议尽快升级到支持的开源版本。
商业客户如何处理这些漏洞?
商业客户可以使用Spring Boot Hotfix版本2.7.29.1、3.2.18.1和3.3.15.1来处理这些漏洞。
这些漏洞对使用安全注解的开发者有什么影响?
这些漏洞可能导致在无界泛型参数化超类型的类型层次结构中使用安全注解时的授权绕过和注解检测问题。
如何获取Spring的商业版本修复?
商业版本的修复可以通过Spring商业工件库获取,需使用Spring企业订阅访问。
➡️
