漏洞概述 CVE编号: CVE-2026-41838 漏洞名称: Spring Framework Predictable Session ID in WebSocket Module 严重程度: 中等 发布日期: 2026年6月8日 描述: WebSocket会话中的会话ID(在 模块中)不是密码学上不可预测的,这可能导致与不充分的授权规则结合使用时的利用。 影响范围 受影响的Spring产品: - Spring Framework: - 7.0.0 - 7.0.7 - 6.2.0 - 6.2.18 - 6.1.0 - 6.1.27 - 5.3.0 - 5.3.48 - 不再支持的版本也受到影响。 修复方案 缓解措施: - 受影响版本的应升级到对应的修复版本。 - 具体修复版本如下: - 7.0.x -> 7.0.8 (OSS), 7.0.7.1 (Commercial) - 6.2.x -> 6.2.19 (OSS), 6.2.18.1 (Commercial) - 6.1.x -> 6.1.28 (Commercial) - 5.3.x -> 5.3.49 (Commercial) 其他缓解步骤: 不需要进一步的缓解步骤。 其他信息 信用: 该问题由内部发现。 参考: NVD链接 历史: 2026-06-08: 初始漏洞报告发布。 报告漏洞 要报告Spring项目组合中的安全漏洞,请参阅安全政策。 --- 总结 该漏洞涉及Spring Framework的WebSocket模块中会话ID的可预测性,可能引发安全问题。受影响的产品版本包括7.0.x、6.2.x、6.1.x和5.3.x系列。建议用户升级到相应的修复版本以解决此问题。