漏洞概述 漏洞名称: CVE-2026-41850 漏洞类型: 算法拒绝服务(Algorithmic Denial of Service via SpEL Expressions) 严重程度: 高 发布日期: 2026年6月8日 影响范围 受影响产品: Spring Framework 受影响版本: - 7.0.0 - 7.0.7 - 6.2.0 - 6.2.18 - 6.1.0 - 6.1.27 - 5.3.0 - 5.3.48 条件: 应用程序接受并评估不受信任或用户控制的SpEL表达式时易受攻击。 修复方案 修复版本: - 7.0.x -> 7.0.8 (OSS) - 7.0.x -> 7.0.7.1 (Commercial) - 6.2.x -> 6.2.19 (OSS) - 6.2.x -> 6.2.18.1 (Commercial) - 6.1.x -> 6.1.28 (Commercial) - 5.3.x -> 5.3.49 (Commercial) 补充说明 Mitigation: - 用户应升级到对应的修复版本。 - 固定版本的Spring Expression Language会跟踪表达式评估期间执行的操作数量。 - 新的 限制(默认10,000)可以自定义。如果超过,应用程序将抛出 。 - 开发者可以通过 或全局使用 JVM系统属性或Spring属性调整此限制。 - 增加此值时应谨慎,因为较高的限制会降低缓解措施对资源耗尽的有效性。 参考链接 NVD NIST CVE MITRE 历史记录 2026-06-08: 初始漏洞报告发布。 报告漏洞 要报告Spring项目组合中的安全漏洞,请参阅安全政策。