CVE-2026-40987: Spring Integration 远程文件同步器在 localDirectory 下写入服务器提供的文件名,未进行规范化 漏洞概述 漏洞编号: CVE-2026-40987 发布日期: 2026年6月10日 严重程度: 高 描述: 恶意或受控的 FTP/SFTP/SMB 服务器可以在客户端文件系统的任何位置(包括配置的本地目录之外)写入任意文件,使用攻击者控制的内容。 影响范围 受影响产品: Spring Integration 受影响版本: - 7.0.0 - 7.0.4 - 6.5.0 - 6.5.8 - 6.4.0 - 6.4.11 - 6.3.0 - 6.3.14 - 5.5.0 - 5.5.20 - 其他旧版且不再支持的版本也受影响 修复方案 修复版本: - 5.5.x -> 5.5.21 (仅限企业支持) - 6.3.x -> 6.3.15 (仅限企业支持) - 6.4.x -> 6.4.12 (仅限企业支持) - 6.5.x -> 6.5.8.1 (仅限企业支持), 6.5.9 (开源) - 7.0.x -> 7.0.4.1 (仅限企业支持), 7.0.5 (开源) 其他信息 报告者: MOUNTainShley, SharlongWen, daehyuh 参考链接: NVD 链接 历史: 2026-06-10 初始漏洞报告发布