Spring End-of-Life Resource Hub

谢谢！您提交的材料已收到！

哎呀！提交表格时出了点问题。

EOL 日历

在关键的 EOL 和 LTS 里程碑影响生产之前保持领先。

到期日

进入 LTS

新版开放源码软件发布

扬

二月

Mar

Apr

五月份

Jun

七月

八月

九月份

十月

十一月

12 月

Spring Boot

Spring 框架

Apache Tomcat

ApacheStruts

Apache Solr

阿帕奇挂毯

Apache Camel

Apache Spark

阿帕奇茧

冬眠

特色文章

查看全部

浏览专家见解、行业新闻、分析以及如何驾驭Spring 和 Java 生命周期终结过渡的方法。

2025 年应注意的 10 个 Tomcat CVE（由 HeroDevs NES 修补）

从 RCE 到 DoS，这 2025 个 Apache Tomcat 漏洞针对的是仍在生产中广泛使用的版本。HeroDevs NES 可消除威胁。

Apache Tomcat

2025 年应注意的 10 个 Tomcat CVE（由 HeroDevs NES 修补）

从 RCE 到 DoS，这 2025 个 Apache Tomcat 漏洞针对的是仍在生产中广泛使用的版本。HeroDevs NES 可消除威胁。

Apache Tomcat

永无止境的支持现已覆盖Spring Boot 3.2 和 3.4

通过永无止境的支持确保Spring Boot 3.2 和 3.4 在生命周期结束后的安全

Spring

永无止境的支持现已覆盖Spring Boot 3.2 和 3.4

通过永无止境的支持确保Spring Boot 3.2 和 3.4 在生命周期结束后的安全

Spring

探索有关 EOL Java 库的 CVE

监控并进一步了解传统Spring 和其他流行 Java 库中的已知漏洞。

严重性

身份证

技术

受影响的图书馆

类别

受影响的版本

发布日期

高

CVE-2025-41253

Spring

Spring 云网关

信息披露

>=3.1.0 <=3.1.11, >=4.0.0, >=4.1.0 <=4.1.11, >=4.2.0 <=4.2.5, >=4.3.0 <=4.3.1

2025 年 10 月 21 日

中型

CVE-2025-41254

Spring

Spring 框架

跨站请求伪造

>=6.2.0 < 6.2.12, >=6.1.0 < 6.1.24, >=6.0.0 <=6.0.29, >=5.3.0 < 5.3.46, <5.3.0, >4.3.0 <= 4.3.30

2025 年 10 月 21 日

关键

CVE-2025-55315

.NET

ASP.NET Core Runtime、Microsoft.AspNetCore.Server.Kestrel.Core

对 HTTP 请求的解释不一致

ASP.NET Core: >= 6.0.0 <= 6.0.36 >= 8.0.0 <= 8.0.20 >= 9.0.0 <= 9.0.9 <= 10.0.0-rc.1 Microsoft.AspNetCore.Server.Kestrel.Core: <= 2.3.0

2025 年 10 月 17 日

中型

CVE-2024-47554

阿帕奇共享资源

Apache Commons IO

拒绝服务

>=2.0 <2.14.0

2025 年 10 月 15 日

高

CVE-2025-52999

杰克逊

杰克逊核心

拒绝服务

<2.15.0

2025 年 10 月 13 日

中型

CVE-2023-35116

杰克逊

杰克逊数据绑定

拒绝服务

<=2.15.2

2025 年 10 月 13 日

高

CVE-2023-3894

杰克逊

杰克逊数据格式文本

拒绝服务

<2.15.0

2025 年 10 月 13 日

中型

CVE-2025-57752

Next.js

缓存欺骗

>=12.0.0 <14.2.31, >=15.0.0 <15.4.5

2025 年 10 月 7 日

中型

CVE-2025-55173

Next.js

内容欺骗

<14.2.31, >=15.0.0 <15.4.5

2025 年 10 月 7 日

中型

CVE-2025-41249

Spring

Spring 框架

特权滥用

>=5.3.0 <=5.3.44, >=6.0.0 <=6.0.29, >=6.1.0 <6.1.23, >=6.2.0 <6.2.11

2025 年 9 月 22 日

高

CVE-2025-59052

Angular

angular,angular, @nguniversal/common

信息披露

@angular/platform-server, =16.0.0-next.0 <18.2.14, >=19.0.0-next.0 <19.2.15, >=20.0.0-next.0 <20.3.0, >=21.0.0-next.0 <21.0.0-next.3, @angular/ssr, =17.0.0-next.0 <18.2.21, >=19.0.0-next.0 <19.2.16, >=20.0.0-next.0 <20.3.0, >=21.0.0-next.0 <21.0.0-next.3, @nguniversal/common, =16.0.0-next.0

2025 年 9 月 11 日

关键

CVE-2025-41243

Spring

Spring 云网关

配置不正确的访问控制

>=3.1.0 <=3.1.9, >=4.0.0 <=4.0.9, >=4.1.0 <=4.1.9, >=4.2.0 <4.2.5, >=4.3.0 <4.3.1

2025 年 9 月 10 日

中型

SA-contrib-2025-028

Drupal 7

访问代码 Drupal 模块

中断的通道

<=7.1.1

2025 年 8 月 26 日

中型

CVE-2025-4690

AngularJS

正则表达式拒绝服务

>=0.0.0

2025 年 8 月 19 日

中型

CVE-2025-41242

Spring

Spring 框架

路径遍历

>=4.3.0 <=4.3.30, >=5.3.0 <=5.3.43, >=6.0.0 <=6.0.29, >=6.1.0 <=6.1.21, >=6.2.0 <=6.2.9

2025 年 8 月 18 日

低

CVE-2025-54656

Struts

ApacheStruts

日志注入

>=1.2.9 <=1.3.10

2025 年 8 月 4 日

高

CVE-2025-48734

Struts

Apache Commons Beanutils

远程代码执行

>=1.0 <1.11, >=2.0.0-M1 <2.0.0-M2

2025 年 8 月 4 日

高

CVE-2025-48976

Struts

Apache Commons Fileupload

拒绝服务

>=1.0 <1.6.0, >=2.0.0-M1 <2.0.0-M

2025 年 8 月 4 日

高

CVE-2025-46701

Apache Tomcat

路径遍历

>=9.0.0.M1 <9.0.105, >=10.1.0-M1 <10.1.41, >=11.0.0-M1 <11.0.7

2025 年 8 月 4 日

关键

CVE-2025-31651

Apache Tomcat

指令注入

>=9.0.76 <9.0.104, >=10.1.10 <10.1.40, >=11.0.0-M2 <11.0.6

2025 年 8 月 4 日

关键

CVE-2025-24813

Apache Tomcat

远程代码执行

>=9.0.0.M1 <9.0.99, >=10.1.0-M1 <10.1.35, >=11.0.0-M1 <11.0.3

2025 年 7 月 30 日

中型

CVE-2025-53506

Apache Tomcat

拒绝服务

>=9.0.0.M1 <9.0.107, >=10.1.0-M1 <10.1.43, >=11.0.0-M1 <11.0.9

2025 年 7 月 30 日

中型

CVE-2025-52520

Apache Tomcat

拒绝服务

>=9.0.0.M1 <9.0.107, >=10.1.0-M1 <10.1.43, >=11.0.0-M1 <11.0.9

2025 年 7 月 30 日

中型

CVE-2025-52434

Apache Tomcat

拒绝服务

>=9.0.0.M1 <9.0.107

2025 年 7 月 30 日

中型

CVE-2025-49125

Apache Tomcat

授权旁路

>=9.0.0.M1 <9.0.106, >=10.1.0-M1 <10.1.42, >=11.0.0-M1 <11.0.8

2025 年 7 月 30 日

高

CVE-2025-49124

Apache Tomcat

路径遍历

>=9.0.23 <9.0.106, >=10.1.0 <10.1.42, >=11.0.0-M1 <11.0.8

2025 年 7 月 30 日

高

CVE-2025-48988

Apache Tomcat

拒绝服务

>=9.0.0.M1 <9.0.106, >=10.1.0-M1 <10.1.42, >=11.0.0-M1 <11.0.8

2025 年 7 月 30 日

高

CVE-2025-31650

Apache Tomcat

拒绝服务

>=9.0.76 <9.0.104, >=10.1.10 <10.1.40, >=11.0.0-M2 <11.0.6

2025 年 7 月 30 日

中型

CVE-2024-29881

TinyMCE

跨站脚本

<6.8.0

2025 年 7 月 30 日

中型

CVE-2024-29203

TinyMCE

跨站脚本

<6.8.0

2025 年 7 月 30 日

高

CVE-2025-27210

Node.js

路径遍历

4.0 < 20.19.4, 22 < 22.17.1, 24 < 24.4.1

2025 年 7 月 15 日

高

CVE-2025-7326

.NET

ASP.NET Core Runtime Microsoft.AspNetCore.Identity

弱认证

ASP.NET Core: >= 6.0.0 <= 6.0.36 Microsoft.AspNetCore.Identity: <= 2.3.0

2025 年 7 月 9 日

中型

CVE-2005-3745

Struts

ApacheStruts

跨站脚本

<=1.2.7

2025 年 6 月 26 日

中型

CVE-2025-49007

轨道

机架

正则表达式拒绝服务

>=3.1.0 <3.1.16

2025 年 6 月 26 日

低

CVE-2025-32421

Next.js

缓存中毒

<14.2.24, >=15.0.0 <15.1.6

2025年6月17日

中型

SA-contrib-2025-072

Drupal 7

欧盟 Cookie 合规性模块

跨站脚本

<7.x-1.45

2025 年 6 月 13 日

中型

CVE-2025-2336

AngularJS

内容欺骗

>=1.3.1

2025 年 6 月 4 日

高

CVE-2025-41235

Spring

Spring 云网关

HTTP 请求走私

<=3.1.10, >= 4.0.0 <= 4.0.10, >=4.1.0 <4.1.8, >=4.2.0 <4.2.3, >4.3.0-{M1, M2, RC1} < 4.3.0

2025年6月2日

高

CVE-2024-56337

Apache Tomcat

远程代码执行

>=9.0.0.M1 <9.0.98, >=10.1.0-M1 <10.1.34, >=11.0.0-M1 <11.0.2

2025年5月28日

中型

CVE-2024-54677

Apache Tomcat

拒绝服务

>=9.0.0.M1 <9.0.98, >=10.1.0-M1 <10.1.34, >=11.0.0-M1 <11.0.2

2025年5月28日

中型

CVE-2024-52317

Apache Tomcat

信息披露

>=9.0.92 <9.0.96, >=10.1.27 <10.1.31, >=11.0.0-M23 <11.0.0

2025年5月28日

关键

CVE-2024-52316

Apache Tomcat

授权旁路

<9.0.96, >=10.1.0-M1 <10.1.30, >=11.0.0-M1 <11.0.1

2025年5月28日

高

CVE-2024-50379

Apache Tomcat

远程代码执行

>=9.0.0.M1 <9.0.98, >=10.1.0-M1 <10.1.34, >=11.0.0-M1 <11.0.2

2025年5月28日

高

CVE-2024-38286

Apache Tomcat

拒绝服务

>=9.0.13 <9.0.90, >=10.1.0-M1 <10.1.25, >=11.0.0-M1 <11.0.0.M21

2025年5月28日

高

CVE-2024-34750

Apache Tomcat

拒绝服务

>=9.0.0.M1 <9.0.90, >=10.1.0-M1 <10.1.25, >=11.0.0-M1 <11.0.0-M21

2025年5月28日

中型

CVE-2025-1461

Vuetify

跨站脚本

>=2.0.0 <3.0.0

2025年5月28日

中型

SA-CORE-2025-002

Drupal 7

查看批量操作模块

中断的通道

>= 7.x-3.0

2025 年 5 月 16 日

中型

CVE-2025-31689

Drupal 7

GDPR

跨站请求伪造

>7.0.0 <=7.1.x-alpha12

2025 年 5 月 16 日

中型

CVE-2025-31687

Drupal 7

SpamSpan

跨站脚本

>=7.0.0 <7.2.1

2025 年 5 月 16 日

低

CVE-2025-22233

Spring

Spring 框架

授权旁路

>=4.3.0 <=4.3.30, >=5.3.0 <=5.3.42, >=6.0.0 <=6.0.27, >=6.1.0 <6.1.20, >=6.2.0 <6.2.7

2025 年 5 月 15 日

中型

CVE-2025-1647

引导

跨站脚本

>=3.4.1 <4.0.0

2025 年 5 月 15 日

中型

CVE-2025-23167

Node.js

HTTP 请求走私

4.0 < 20.19.1

2025 年 5 月 14 日

高

CVE-2025-23166

Node.js

密码学弱点

4.0 < 20.19.1, 22 < 22.15.0, 24 < 24.0.1

2025 年 5 月 14 日

高

CVE-2023-49735

Struts

ApacheStruts

路径遍历

<1.3.10, >=2.0.0

2025 年 5 月 12 日

中型

CVE-2023-34396

Struts

ApacheStruts

拒绝服务

<1.3.10, >=2.0.5 <2.5.31, >=6.0.0 <6.1.2.1

2025 年 5 月 12 日

低

CVE-2008-2025

Struts

ApacheStruts

跨站脚本

<1.2.9

2025 年 5 月 12 日

低

CVE-2006-1548

Struts

ApacheStruts

跨站脚本

<1.2.9

2025 年 5 月 12 日

高

CVE-2006-1547

Struts

ApacheStruts

拒绝服务

<1.2.9

2025 年 5 月 12 日

高

CVE-2006-1546

Struts

ApacheStruts

授权旁路

<1.2.9

2025 年 5 月 12 日

高

CVE-2024-22257

Spring

Spring 安全

授权旁路

>=5.7.0 <5.7.12, >=5.8.0 <5.8.11, >=6.0.0 <6.0.10, >=6.1.0 <6.1.8, >=6.2.0 <6.2.3

2025 年 5 月 8 日

中型

CVE-2025-0716

AngularJS

内容欺骗

>=0.0.0

2025 年 4 月 29 日

中型

CVE-2025-22235

Spring

Spring Boot

配置不正确的访问控制

<2.7.0, >=2.7.0 <2.7.25, >=3.1.0 <3.1.16, >=3.2.0 <3.2.14, >=3.3.0 <3.3.11, >=3.4.0 <3.4.5

2025 年 4 月 25 日

中型

CVE-2025-22234

Spring

Spring 安全

信息披露

=5.7.16, =5.8.18, =6.0.16, =6.1.14, =6.2.10, =6.3.8, =6.4.4

2025 年 4 月 22 日

低

CVE-2025-24859

阿帕奇滚筒

中断的通道

>1.0.0 <=6.1.4

2025 年 4 月 14 日

中型

CVE-2025-22232

Spring

Spring 云配置

授权旁路

>=2.2.0 <=2.2.8, >=3.0.0 <=3.0.7, >=3.1.0 <3.1.10, >=4.0.0 <=4.0.5, >=4.1.0 <4.1.6, >=4.2.0 <4.2.1

2025 年 4 月 10 日

中型

CVE-2022-31777

Apache Spark

跨站脚本

3.3.0 <=3.2.1

2025 年 4 月 9 日

关键

CVE-2023-22946

Apache Spark

中断的通道

<3.4.0 >=3.3.0 <=3.3.1 >=3.2.0 <=3.2.3 >=3.1.0 <=3.1.3 >=3.0.0 <=3.0.3 >=2.4.8

2025 年 4 月 9 日

高

CVE-2023-32007

Apache Spark

指令注入

>=3.2.0 <=3.2.1 >=3.1.1 <=3.1.3 <=3.0.3

2025 年 4 月 9 日

高

CVE-2023-46298

Next.js

拒绝服务

>=13.0.0 <13.4.20-canary.13

2025 年 4 月 9 日

关键

CVE-2020-11971

Apache Camel

远程代码执行

>=3.0.0 <=3.1.0 2.25.0 2.24.x 2.23.x 2.22.x

2025 年 4 月 7 日

高

CVE-2025-24070

.NET

ASP.NET Core Runtime; Microsoft.AspNetCore.Identity

弱认证

ASP.NET Core: >= 6.0.0 <= 6.0.36 >= 8.0.0 <= 8.0.13 >= 9.0.0 <= 9.0.2 Microsoft.AspNetCore.Identity: <= 2.3.0

2025 年 4 月 4 日

高

CVE-2025-21176

.NET

.NET 运行时

缓冲区超读

>= 6.0.0 <= 6.0.36 >= 8.0.0 <= 8.0.11 <= 9.0.0

2025 年 4 月 4 日

高

CVE-2025-21173

.NET

.NET 运行时

在权限不安全的目录中创建临时文件

>= 6.0.0 <= 6.0.36 >= 8.0.0 <= 8.0.11 <= 9.0.0

2025 年 4 月 4 日

高

CVE-2025-21172

.NET

.NET 运行时

基于堆的缓冲区溢出

>= 6.0.0 <= 6.0.36 >= 8.0.0 <= 8.0.11 <= 9.0.0

2025 年 4 月 4 日

高

CVE-2024-38229

.NET

ASP.NET Core 运行时

免费后使用

>= 6.0.0 <= 6.0.36 >= 8.0.0 <= 8.0.8 >= 9.0.0-preview.1.24081.5 <= 9.0.0.RC.1

2025 年 4 月 4 日

关键

CVE-2024-35264

.NET

ASP.NET Core 运行时

免费后使用

>= 6.0.0 <= 6.0.36 >= 8.0.0 <= 8.0.6

2025 年 4 月 4 日

关键

CVE-2025-29927

Next.js

授权旁路

>=11.1.4 <12.3.5, >=13.0.0 <13.5.9, >=14.0.0 <14.2.25, >=15.0.0 <15.2.3

2025 年 3 月 23 日

中型

CVE-2025-24814

Apache Solr 和 Lucene

Apache Solr

远程代码执行

<9.8.0

2025 年 3 月 21 日

中型

CVE-2024-52012

Apache Solr 和 Lucene

Apache Solr

路径遍历

<=9.0.0 <9.8.0

2025 年 3 月 21 日

中型

CVE-2024-45772

Apache Solr 和 Lucene

Apache Lucene

远程代码执行

>=4.4.0 <9.12.0

2025 年 3 月 21 日

高

CVE-2025-22228

Spring

Spring 安全

授权旁路

<=5.6.12, >=5.7.0 <5.7.16, >=5.8.0 <5.8.18, >=6.0.0 <=6.0.16, >=6.1.0 <6.1.14, >=6.2.0 <6.2.10, >=6.3.0 <6.3.8, >=6.4.0 <6.4.4

2025 年 3 月 20 日

中型

CVE-2025-27111

轨道

机架

日志注入

<2.2.12, <3.0.13, <3.1.11

2025 年 3 月 4 日

中型

CVE-2023-34040

Spring

Spring for Apache Kafka

远程代码执行

<2.9.11, >=3.0.0 <3.0.10

2025 年 3 月 3 日

中型

CVE-2019-8331

引导

跨站脚本

>=2.0.0 <=2.3.2, >=3.0.0-rc1 <3.4.1

2025 年 2 月 28 日

中型

CVE-2016-10735

引导

跨站脚本

>=2.0.0 <=2.3.2, >=3.0.0-rc1 <3.4.0, >=4.0.0-alpha <4.0.0-beta.2

2025 年 2 月 28 日

中型

CVE-2018-14042

引导

跨站脚本

>=2.3.0 <=2.3.2, >=3.0.0-rc1 <3.4.0, >=4.0.0-alpha <4.1.2

2025 年 2 月 28 日

中型

CVE-2018-14040

引导

跨站脚本

>=2.3.0 <=2.3.2, >=3.0.0-rc1 <3.4.0, >=4.0.0-alpha <4.1.2

2025 年 2 月 28 日

中型

CVE-2025-25184

轨道

机架

日志输出中和不当

<2.2.11, <3.0.12, <3.1.10

2025 年 2 月 14 日

中型

CVE-2025-23085

Node.js

拒绝服务

4.0 < 18.20.6, 20 < 20.18.2

2025 年 2 月 7 日

中型

CVE-2025-23084

Node.js

路径遍历

4.0 < 18.20.6, 20 < 20.18.2

2025 年 1 月 28 日

高

CVE-2024-29415

网络要点

服务器端请求伪造

<=2.0.1

2025 年 1 月 27 日

高

CVE-2024-21536

网络要点

Http 代理中间件

拒绝服务

<2.0.7, >=3.0.0 <3.0.3

2025 年 1 月 27 日

高

CVE-2024-29180

网络要点

Webpack 开发中间件

路径遍历

<5.3.4, >=6.0.0 <6.1.2, >=7.0.0 <7.1.0

2025 年 1 月 27 日

高

CVE-2025-23083

Node.js

授权旁路

4.0 < 20.18.2, 22 < 22.13.1

2025 年 1 月 22 日

高

CVE-2025-23089

Node.js

使用未经维护的第三方

<= 21.7.3

2025 年 1 月 21 日

高

CVE-2025-23088

Node.js

使用未经维护的第三方

<= 19.9.0

2025 年 1 月 21 日

高

CVE-2025-23087

Node.js

使用未经维护的第三方

<= 17.9.1

2025 年 1 月 21 日

高

CVE-2024-27980

Node.js

指令注入

4.0 <= 18.20.2, 20 < 20.12.2

2025 年 1 月 9 日

高

CVE-2024-51479

Next.js

授权旁路

<=14.2.14

2024 年 12 月 17 日

关键

CVE-2024-53677

Struts

ApacheStruts

远程代码执行

>=2.0.0 <=2.3.37, >=2.5.0 <=2.5.33, >=6.0.0 <=6.3.0.2

2024 年 12 月 17 日

查看全部

特色白皮书

查看全部

有关迁移、风险和长期 Java 战略的深度报告和技术简报。

2025 年的 Java：
驾驭迁移、安全和长期风险

首席信息官（CIO）、首席信息安全官（CISO）和工程领导者面临的问题不再是是否继续依赖 Java，而是如何在 LTS 版本之间安全迁移、减少遗留环境中的风险敞口以及实施经得起监管审查的治理框架。本白皮书详细分析了迁移的现实情况、现实世界中的漏洞教训、供应链风险以及影响 2025 年企业决策的经济、监管和供应商动态。

阅读白皮书