漏洞概述 CVE编号: CVE-2026-40998 漏洞名称: Jaxp13 XPath XXE via StreamSource and SAXSource 发布日期: 2026年6月10日 严重程度: 高 描述: Jaxp13XPathTemplate 使用 JDK 默认的 行为而不是 Spring 的加固解析器配置来评估 和 输入的 XPath 表达式。这导致应用程序可能受到 XML 外部实体 (XXE) 攻击,包括机密文件泄露或服务器端请求伪造。 前提条件: 暴露了由远程用户控制或影响的 XPath 评估数据(直接或通过消息路径)。 使用易受攻击的源类型而没有额外的加固层。 影响范围 受影响的 Spring 产品和版本: Spring Web Services: - 5.0.0 - 5.0.1 - 4.1.0 - 4.1.3 - 4.0.0 - 4.0.18 - 3.1.0 - 3.1.8 不再支持的版本也受影响。 修复方案 缓解措施: 受影响版本的应升级到对应的修复版本。 修复版本: 其他缓解步骤: 无需进一步的缓解步骤。 参考链接 NVD 漏洞指标 历史 2026-06-10: 初始漏洞报告发布。