CVE-2026-22741: Spring MVC 和 WebFlux 静态资源缓存投毒漏洞 漏洞概述 Spring MVC 和 WebFlux 应用在解析静态资源时存在缓存投毒漏洞。当满足以下条件时,攻击者可发送恶意请求,使用错误的编码向资源缓存注入资源,导致前端应用因服务中断而无法正常工作: 应用使用 Spring MVC 或 Spring WebFlux 应用配置了启用缓存的资源链支持 应用支持编码资源解析 资源缓存为空且攻击者可访问该缓存 影响范围 受影响版本: Spring Framework 7.0.0 - 7.0.6 Spring Framework 6.2.0 - 6.2.17 Spring Framework 6.1.0 - 6.1.26 Spring Framework 5.3.0 - 5.3.47 旧版不受支持的版本也可能受影响 修复方案 受影响版本用户应升级至对应修复版本: 无其他缓解步骤。 参考信息 报告人:Yuki Matsushashi 发布日期:2026-04-17 参考链接:https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L&version=3.1