一、 漏洞 CVE-2025-41254 基础信息
漏洞信息
                                        # Spring STOMP CSRF漏洞

## 概述

STOMP over WebSocket 应用程序可能存在安全绕过漏洞,允许攻击者发送未经授权的消息。

## 影响版本

- **Spring Framework**:
  - 6.2.0 - 6.2.11
  - 6.1.0 - 6.1.23
  - 6.0.x - 6.0.29
  - 5.3.0 - 5.3.45
  - 更旧的、不受支持的版本也受影响

## 细节

该漏洞可能导致攻击者在未授权的情况下,通过 STOMP over WebSocket 协议发送恶意消息,绕过预期的安全检查。

## 影响

攻击者可以利用此漏洞发送未授权的消息,从而可能操控通信内容或执行未授权操作。

## 补救措施

- 受影响用户应升级到对应的修复版本:
  - 6.2.x 用户升级至 **6.2.12**
  - 6.1.x 用户升级至 **6.1.24**
  - 5.3.x 用户升级至 **5.3.46**

> 注意:
> - 6.0.x 版本已停止支持,无修复版本
> - 5.3.x 及更早版本若需商业支持,请访问 [Spring 企业支持页面](https://enterprise.spring.io/)

## 致谢

此漏洞由 **Jannis Kaiser** 发现并负责任地披露。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Spring Framework STOMP CSRF Vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
STOMP over WebSocket applications may be vulnerable to a security bypass that allows an attacker to send unauthorized messages. Affected Spring Products and VersionsSpring Framework: * 6.2.0 - 6.2.11 * 6.1.0 - 6.1.23 * 6.0.x - 6.0.29 * 5.3.0 - 5.3.45 * Older, unsupported versions are also affected. MitigationUsers of affected versions should upgrade to the corresponding fixed version. Affected version(s)Fix versionAvailability6.2.x6.2.12OSS6.1.x6.1.24 Commercial https://enterprise.spring.io/ 6.0.xN/A Out of support https://spring.io/projects/spring-framework#support 5.3.x5.3.46 Commercial https://enterprise.spring.io/ No further mitigation steps are necessary. CreditThis vulnerability was discovered and responsibly reported by Jannis Kaiser.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
跨站请求伪造(CSRF)
来源:美国国家漏洞数据库 NVD
漏洞标题
Spring Framework 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Spring Framework是Spring开源的一款应用开发框架。 Spring Framework 6.2.0版本至6.2.11版本、6.1.0版本至6.1.23版本、6.0.x版本至6.0.29版本和5.3.0版本至5.3.45版本存在安全漏洞,该漏洞源于STOMP over WebSocket应用程序可能存在安全绕过,可能导致发送未经授权的消息。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-41254 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-41254 的情报信息
四、漏洞 CVE-2025-41254 的评论

暂无评论

发表评论