漏洞概述 CVE编号: CVE-2026-41006 漏洞名称: Spring HATEOAS Collection+JSON/UBER deserializers do not honor Jackson configuration 严重程度: HIGH 发布日期: 2026年6月8日 影响范围 受影响产品: Spring HATEOAS 受影响版本: - 1.5.0 - 1.5.6 - 2.3.0 - 2.3.4 - 2.4.0 - 2.4.1 - 2.5.0 - 2.5.2 - 3.0.0 - 3.0.3 修复方案 受影响版本及对应修复版本: - 1.5.x → 1.5.7 (Enterprise Support Only) - 2.3.x → 2.3.5 (Enterprise Support Only) - 2.4.x → 2.4.2 (Enterprise Support Only) - 2.5.x → 2.5.3 (OSS) - 3.0.x → 3.0.4 (OSS) 其他信息 描述: Spring HATEOAS 的 方法,被 Collection+JSON 和 UBER 媒体类型反序列化器使用,通过反射执行 bean 属性绑定,而不考虑 Jackson 访问控制注解。 受影响应用: 启用了 或 超媒体类型(通过 或自动配置),暴露接受 子类或 作为 的控制器,并且其绑定的模型类型暴露了一个仅通过 Jackson 注解保护的敏感属性,而不是通过 absence of a setter。 参考链接 NVD 链接 历史 2026-06-08: 初始漏洞报告发布。