漏洞概述 CVE-2026-47838: 在使用X.509客户端证书时,存在未授权用户冒充漏洞。该漏洞是CVE-2026-22747的延续,后者解决了Spring Security 7.0.x中的相同问题。 未能正确处理某些格式错误的X.509证书CN值,可能导致读取错误的用户名。在精心构造的证书中,这可能导致攻击者冒充其他用户。 影响范围 Spring Security 5.7.x - 5.7.24 Spring Security 5.8.x - 5.8.26 Spring Security 6.3.0 - 6.3.17 Spring Security 6.4.0 - 6.4.17 Spring Security 6.5.0 - 6.5.10 其他不受支持的版本也受到影响。 修复方案 受影响版本的应升级到对应的修复版本: 5.7.x -> 5.7.25 (仅限企业支持) 5.8.x -> 5.8.27 (仅限企业支持) 6.3.x -> 6.3.18 (仅限企业支持) 6.4.x -> 6.4.18 (仅限企业支持) 6.5.x -> 6.5.11 (OSS) 此外, 已被弃用,并被 取代。在更新时,还应迁移到 。 其他信息 报告者: Nikita Markevich 参考链接: NVD 历史: 2026-04-20 初始漏洞报告发布。 代码块 页面中未包含POC代码或利用代码。