Spring 生命终结资源中心
生命的终结并不意味着支持的终结。查找保持Spring 应用程序稳定、安全和合规的策略、资源和解决方案。
.png)
.png)
特色文章
浏览专家见解、行业新闻、分析以及如何驾驭Spring 和 Java 生命周期终结过渡的方法。
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
![CVE-2024-38828:通过带有 byte[] 参数的Spring MVC 控制器方法实施 DoS](https://cdn.prod.website-files.com/62876589ec366575fa309b1e/673e0f6a7971ec7d5afa92c9_CVE-2024-38828.png)
.png)
.png)
.png)
.png)
.png)
.png)
2025 年应注意的 10 个 Tomcat CVE(由 HeroDevs NES 修补)
从 RCE 到 DoS,这 2025 个 Apache Tomcat 漏洞针对的是仍在生产中广泛使用的版本。HeroDevs NES 可消除威胁。
永无止境的支持现已覆盖Spring Boot 3.2 和 3.4
通过永无止境的支持确保Spring Boot 3.2 和 3.4 在生命周期结束后的安全
永无止境的支持现已覆盖Spring Boot 3.2 和 3.4
通过永无止境的支持确保Spring Boot 3.2 和 3.4 在生命周期结束后的安全
探索有关 EOL Java 库的 CVE
监控并进一步了解传统Spring 和其他流行 Java 库中的已知漏洞。
严重性
身份证
技术
受影响的图书馆
类别
受影响的版本
发布日期
高
Spring
Spring 云网关
信息披露
>=3.1.0 <=3.1.11, >=4.0.0, >=4.1.0 <=4.1.11, >=4.2.0 <=4.2.5, >=4.3.0 <=4.3.1
2025 年 10 月 21 日
中型
Spring
Spring 框架
跨站请求伪造
>=6.2.0 < 6.2.12, >=6.1.0 < 6.1.24, >=6.0.0 <=6.0.29, >=5.3.0 < 5.3.46, <5.3.0, >4.3.0 <= 4.3.30
2025 年 10 月 21 日
中型
Spring
Spring 框架
特权滥用
>=5.3.0 <=5.3.44, >=6.0.0 <=6.0.29, >=6.1.0 <6.1.23, >=6.2.0 <6.2.11
2025 年 9 月 22 日
关键
Spring
Spring 云网关
配置不正确的访问控制
>=3.1.0 <=3.1.9, >=4.0.0 <=4.0.9, >=4.1.0 <=4.1.9, >=4.2.0 <4.2.5, >=4.3.0 <4.3.1
2025 年 9 月 10 日
中型
Spring
Spring 框架
路径遍历
>=4.3.0 <=4.3.30, >=5.3.0 <=5.3.43, >=6.0.0 <=6.0.29, >=6.1.0 <=6.1.21, >=6.2.0 <=6.2.9
2025 年 8 月 18 日
高
Spring
Spring 云网关
HTTP 请求走私
<=3.1.10, >= 4.0.0 <= 4.0.10, >=4.1.0 <4.1.8, >=4.2.0 <4.2.3, >4.3.0-{M1, M2, RC1} < 4.3.0
2025年6月2日
低
Spring
Spring 框架
授权旁路
>=4.3.0 <=4.3.30, >=5.3.0 <=5.3.42, >=6.0.0 <=6.0.27, >=6.1.0 <6.1.20, >=6.2.0 <6.2.7
2025 年 5 月 15 日
高
Spring
Spring 安全
授权旁路
>=5.7.0 <5.7.12, >=5.8.0 <5.8.11, >=6.0.0 <6.0.10, >=6.1.0 <6.1.8, >=6.2.0 <6.2.3
2025 年 5 月 8 日
中型
Spring
Spring Boot
配置不正确的访问控制
<2.7.0, >=2.7.0 <2.7.25, >=3.1.0 <3.1.16, >=3.2.0 <3.2.14, >=3.3.0 <3.3.11, >=3.4.0 <3.4.5
2025 年 4 月 25 日
中型
Spring
Spring 安全
信息披露
=5.7.16, =5.8.18, =6.0.16, =6.1.14, =6.2.10, =6.3.8, =6.4.4
2025 年 4 月 22 日
中型
Spring
Spring 云配置
授权旁路
>=2.2.0 <=2.2.8, >=3.0.0 <=3.0.7, >=3.1.0 <3.1.10, >=4.0.0 <=4.0.5, >=4.1.0 <4.1.6, >=4.2.0 <4.2.1
2025 年 4 月 10 日
高
Spring
Spring 安全
授权旁路
<=5.6.12, >=5.7.0 <5.7.16, >=5.8.0 <5.8.18, >=6.0.0 <=6.0.16, >=6.1.0 <6.1.14, >=6.2.0 <6.2.10, >=6.3.0 <6.3.8, >=6.4.0 <6.4.4
2025 年 3 月 20 日
低
Spring
Spring LDAP
授权旁路
<=2.4.3, >=3.0.0 <=3.0.9, >=3.1.0 <=3.1.7, >=3.2.0 <3.2.7
2024 年 11 月 20 日
中型
Spring
Spring 安全
授权旁路
<=5.7.13, >=5.8.0 <=5.8.15, >=6.0.0 <=6.0.13, >=6.1.0 <=6.1.11, >=6.2.0 <=6.2.7, >=6.3.0 <=6.3.4
2024 年 11 月 19 日
特色白皮书
有关迁移、风险和长期 Java 战略的深度报告和技术简报。
2025 年的 Java:
驾驭迁移、安全和长期风险
首席信息官(CIO)、首席信息安全官(CISO)和工程领导者面临的问题不再是是否继续依赖 Java,而是如何在 LTS 版本之间安全迁移、减少遗留环境中的风险敞口以及实施经得起监管审查的治理框架。本白皮书详细分析了迁移的现实情况、现实世界中的漏洞教训、供应链风险以及影响 2025 年企业决策的经济、监管和供应商动态。
CVE 解释
我们的团队将剖析漏洞利用、解释补丁,并向您展示如何保护您的堆栈,让您深入了解主要的Spring 和 Java CVE。
CVE-2025-48976
拒绝服务
高
受影响的项目:
Struts中的 Apache Commons 文件上传
版本:
>=1.0 <1.6.0
>=2.0.0-M1 <2.0.0-M
CVE-2025-46701
路径遍历
高
受影响的项目:
Apache Tomcat 中的 Apache Tomcat
版本:
>=9.0.0.M1 <9.0.105
>=10.1.0-M1 <10.1.41
>=11.0.0-M1 <11.0.7
CVE-2025-31651
指令注入
关键
受影响的项目:
Apache Tomcat 中的 Apache Tomcat
版本:
>=9.0.76 <9.0.104
>=10.1.10 <10.1.40
>=11.0.0-M2 <11.0.6
CVE-2025-48734
远程代码执行
高
受影响的项目:
Struts中的 Apache Commons Beanutils
版本:
>=1.0 <1.11
>=2.0.0-M1 <2.0.0-M2
开始