Spring 生命终结资源中心
生命的终结并不意味着支持的终结。查找保持Spring 应用程序稳定、安全和合规的策略、资源和解决方案。

探索有关 EOL Java 库的 CVE
监控并进一步了解传统Spring 和其他流行 Java 库中的已知漏洞。
严重性
身份证
技术
受影响的图书馆
类别
受影响的版本
发布日期
高
Spring
Spring 云网关
信息披露
>=3.1.0 <=3.1.11, >=4.0.0, >=4.1.0 <=4.1.11, >=4.2.0 <=4.2.5, >=4.3.0 <=4.3.1
2025 年 10 月 21 日
中型
Spring
Spring 框架
跨站请求伪造
>=6.2.0 < 6.2.12, >=6.1.0 < 6.1.24, >=6.0.0 <=6.0.29, >=5.3.0 < 5.3.46, <5.3.0, >4.3.0 <= 4.3.30
2025 年 10 月 21 日
关键
.NET
ASP.NET Core Runtime、Microsoft.AspNetCore.Server.Kestrel.Core
对 HTTP 请求的解释不一致
ASP.NET Core: >= 6.0.0 <= 6.0.36 >= 8.0.0 <= 8.0.20 >= 9.0.0 <= 9.0.9 <= 10.0.0-rc.1 Microsoft.AspNetCore.Server.Kestrel.Core: <= 2.3.0
2025 年 10 月 17 日
中型
Spring
Spring 框架
特权滥用
>=5.3.0 <=5.3.44, >=6.0.0 <=6.0.29, >=6.1.0 <6.1.23, >=6.2.0 <6.2.11
2025 年 9 月 22 日
高
Angular
angular,angular, @nguniversal/common
信息披露
@angular/platform-server, =16.0.0-next.0 <18.2.14, >=19.0.0-next.0 <19.2.15, >=20.0.0-next.0 <20.3.0, >=21.0.0-next.0 <21.0.0-next.3, @angular/ssr, =17.0.0-next.0 <18.2.21, >=19.0.0-next.0 <19.2.16, >=20.0.0-next.0 <20.3.0, >=21.0.0-next.0 <21.0.0-next.3, @nguniversal/common, =16.0.0-next.0
2025 年 9 月 11 日
关键
Spring
Spring 云网关
配置不正确的访问控制
>=3.1.0 <=3.1.9, >=4.0.0 <=4.0.9, >=4.1.0 <=4.1.9, >=4.2.0 <4.2.5, >=4.3.0 <4.3.1
2025 年 9 月 10 日
中型
Spring
Spring 框架
路径遍历
>=4.3.0 <=4.3.30, >=5.3.0 <=5.3.43, >=6.0.0 <=6.0.29, >=6.1.0 <=6.1.21, >=6.2.0 <=6.2.9
2025 年 8 月 18 日
高
Apache Tomcat
Apache Tomcat
路径遍历
>=9.0.0.M1 <9.0.105, >=10.1.0-M1 <10.1.41, >=11.0.0-M1 <11.0.7
2025 年 8 月 4 日
关键
Apache Tomcat
Apache Tomcat
指令注入
>=9.0.76 <9.0.104, >=10.1.10 <10.1.40, >=11.0.0-M2 <11.0.6
2025 年 8 月 4 日
关键
Apache Tomcat
Apache Tomcat
远程代码执行
>=9.0.0.M1 <9.0.99, >=10.1.0-M1 <10.1.35, >=11.0.0-M1 <11.0.3
2025 年 7 月 30 日
中型
Apache Tomcat
Apache Tomcat
拒绝服务
>=9.0.0.M1 <9.0.107, >=10.1.0-M1 <10.1.43, >=11.0.0-M1 <11.0.9
2025 年 7 月 30 日
中型
Apache Tomcat
Apache Tomcat
拒绝服务
>=9.0.0.M1 <9.0.107, >=10.1.0-M1 <10.1.43, >=11.0.0-M1 <11.0.9
2025 年 7 月 30 日
中型
Apache Tomcat
Apache Tomcat
授权旁路
>=9.0.0.M1 <9.0.106, >=10.1.0-M1 <10.1.42, >=11.0.0-M1 <11.0.8
2025 年 7 月 30 日
高
Apache Tomcat
Apache Tomcat
路径遍历
>=9.0.23 <9.0.106, >=10.1.0 <10.1.42, >=11.0.0-M1 <11.0.8
2025 年 7 月 30 日
高
Apache Tomcat
Apache Tomcat
拒绝服务
>=9.0.0.M1 <9.0.106, >=10.1.0-M1 <10.1.42, >=11.0.0-M1 <11.0.8
2025 年 7 月 30 日
高
Apache Tomcat
Apache Tomcat
拒绝服务
>=9.0.76 <9.0.104, >=10.1.10 <10.1.40, >=11.0.0-M2 <11.0.6
2025 年 7 月 30 日
高
.NET
ASP.NET Core Runtime Microsoft.AspNetCore.Identity
弱认证
ASP.NET Core: >= 6.0.0 <= 6.0.36 Microsoft.AspNetCore.Identity: <= 2.3.0
2025 年 7 月 9 日
高
Spring
Spring 云网关
HTTP 请求走私
<=3.1.10, >= 4.0.0 <= 4.0.10, >=4.1.0 <4.1.8, >=4.2.0 <4.2.3, >4.3.0-{M1, M2, RC1} < 4.3.0
2025年6月2日
高
Apache Tomcat
Apache Tomcat
远程代码执行
>=9.0.0.M1 <9.0.98, >=10.1.0-M1 <10.1.34, >=11.0.0-M1 <11.0.2
2025年5月28日
中型
Apache Tomcat
Apache Tomcat
拒绝服务
>=9.0.0.M1 <9.0.98, >=10.1.0-M1 <10.1.34, >=11.0.0-M1 <11.0.2
2025年5月28日
中型
Apache Tomcat
Apache Tomcat
信息披露
>=9.0.92 <9.0.96, >=10.1.27 <10.1.31, >=11.0.0-M23 <11.0.0
2025年5月28日
关键
Apache Tomcat
Apache Tomcat
授权旁路
<9.0.96, >=10.1.0-M1 <10.1.30, >=11.0.0-M1 <11.0.1
2025年5月28日
高
Apache Tomcat
Apache Tomcat
远程代码执行
>=9.0.0.M1 <9.0.98, >=10.1.0-M1 <10.1.34, >=11.0.0-M1 <11.0.2
2025年5月28日
高
Apache Tomcat
Apache Tomcat
拒绝服务
>=9.0.13 <9.0.90, >=10.1.0-M1 <10.1.25, >=11.0.0-M1 <11.0.0.M21
2025年5月28日
高
Apache Tomcat
Apache Tomcat
拒绝服务
>=9.0.0.M1 <9.0.90, >=10.1.0-M1 <10.1.25, >=11.0.0-M1 <11.0.0-M21
2025年5月28日
低
Spring
Spring 框架
授权旁路
>=4.3.0 <=4.3.30, >=5.3.0 <=5.3.42, >=6.0.0 <=6.0.27, >=6.1.0 <6.1.20, >=6.2.0 <6.2.7
2025 年 5 月 15 日
高
Spring
Spring 安全
授权旁路
>=5.7.0 <5.7.12, >=5.8.0 <5.8.11, >=6.0.0 <6.0.10, >=6.1.0 <6.1.8, >=6.2.0 <6.2.3
2025 年 5 月 8 日
中型
Spring
Spring Boot
配置不正确的访问控制
<2.7.0, >=2.7.0 <2.7.25, >=3.1.0 <3.1.16, >=3.2.0 <3.2.14, >=3.3.0 <3.3.11, >=3.4.0 <3.4.5
2025 年 4 月 25 日
中型
Spring
Spring 安全
信息披露
=5.7.16, =5.8.18, =6.0.16, =6.1.14, =6.2.10, =6.3.8, =6.4.4
2025 年 4 月 22 日
中型
Spring
Spring 云配置
授权旁路
>=2.2.0 <=2.2.8, >=3.0.0 <=3.0.7, >=3.1.0 <3.1.10, >=4.0.0 <=4.0.5, >=4.1.0 <4.1.6, >=4.2.0 <4.2.1
2025 年 4 月 10 日
关键
Apache Spark
Apache Spark
中断的通道
<3.4.0 >=3.3.0 <=3.3.1 >=3.2.0 <=3.2.3 >=3.1.0 <=3.1.3 >=3.0.0 <=3.0.3 >=2.4.8
2025 年 4 月 9 日
关键
Apache Camel
Apache Camel
远程代码执行
>=3.0.0 <=3.1.0 2.25.0 2.24.x 2.23.x 2.22.x
2025 年 4 月 7 日
高
.NET
ASP.NET Core Runtime; Microsoft.AspNetCore.Identity
弱认证
ASP.NET Core: >= 6.0.0 <= 6.0.36 >= 8.0.0 <= 8.0.13 >= 9.0.0 <= 9.0.2 Microsoft.AspNetCore.Identity: <= 2.3.0
2025 年 4 月 4 日
高
.NET
.NET 运行时
在权限不安全的目录中创建临时文件
>= 6.0.0 <= 6.0.36 >= 8.0.0 <= 8.0.11 <= 9.0.0
2025 年 4 月 4 日
高
.NET
ASP.NET Core 运行时
免费后使用
>= 6.0.0 <= 6.0.36 >= 8.0.0 <= 8.0.8 >= 9.0.0-preview.1.24081.5 <= 9.0.0.RC.1
2025 年 4 月 4 日
关键
Next.js
Next.js
授权旁路
>=11.1.4 <12.3.5, >=13.0.0 <13.5.9, >=14.0.0 <14.2.25, >=15.0.0 <15.2.3
2025 年 3 月 23 日
高
Spring
Spring 安全
授权旁路
<=5.6.12, >=5.7.0 <5.7.16, >=5.8.0 <5.8.18, >=6.0.0 <=6.0.16, >=6.1.0 <6.1.14, >=6.2.0 <6.2.10, >=6.3.0 <6.3.8, >=6.4.0 <6.4.4
2025 年 3 月 20 日
中型
引导
引导
跨站脚本
>=2.0.0 <=2.3.2, >=3.0.0-rc1 <3.4.0, >=4.0.0-alpha <4.0.0-beta.2
2025 年 2 月 28 日
关键
Struts
ApacheStruts
远程代码执行
>=2.0.0 <=2.3.37, >=2.5.0 <=2.5.33, >=6.0.0 <=6.3.0.2
2024 年 12 月 17 日
特色白皮书
有关迁移、风险和长期 Java 战略的深度报告和技术简报。
2025 年的 Java:
驾驭迁移、安全和长期风险
首席信息官(CIO)、首席信息安全官(CISO)和工程领导者面临的问题不再是是否继续依赖 Java,而是如何在 LTS 版本之间安全迁移、减少遗留环境中的风险敞口以及实施经得起监管审查的治理框架。本白皮书详细分析了迁移的现实情况、现实世界中的漏洞教训、供应链风险以及影响 2025 年企业决策的经济、监管和供应商动态。

CVE 解释
我们的团队将剖析漏洞利用、解释补丁,并向您展示如何保护您的堆栈,让您深入了解主要的Spring 和 Java CVE。
CVE-2025-48976
拒绝服务
高
受影响的项目:
Struts中的 Apache Commons 文件上传
版本:
>=1.0 <1.6.0
>=2.0.0-M1 <2.0.0-M
CVE-2025-46701
路径遍历
高
受影响的项目:
Apache Tomcat 中的 Apache Tomcat
版本:
>=9.0.0.M1 <9.0.105
>=10.1.0-M1 <10.1.41
>=11.0.0-M1 <11.0.7
CVE-2025-31651
指令注入
关键
受影响的项目:
Apache Tomcat 中的 Apache Tomcat
版本:
>=9.0.76 <9.0.104
>=10.1.10 <10.1.40
>=11.0.0-M2 <11.0.6
CVE-2025-48734
远程代码执行
高
受影响的项目:
Struts中的 Apache Commons Beanutils
版本:
>=1.0 <1.11
>=2.0.0-M1 <2.0.0-M2
.png)
.png)



.png)








.png)
.png)
.png)
.png)
![CVE-2024-38828:通过带有 byte[] 参数的Spring MVC 控制器方法实施 DoS](https://cdn.prod.website-files.com/62876589ec366575fa309b1e/673e0f6a7971ec7d5afa92c9_CVE-2024-38828.png)
.png)



.png)
.png)

.png)
.png)
.png)

.png)