检测

插件

最近更新时间

插件系列介绍

指标

风险暴露指标

Spring Framework 5.3.x < 5.3.49 / 6.1.x < 6.1.28 / 6.2.x < 6.2.18.1 / 7.0.x < 7.0.7.1 多种漏洞

high Nessus 插件 ID 320777

语言：

简介

远程主机上安装的 Spring Framework 受到多个漏洞的影响。

描述

远程主机上安装的 Spring Framework 版本为低于 5.3.49 的 5.3.x、低于 6.1.28 的 6.1.x、低于 6.2.18.1 的 6.2.x 或低于 7.0.7.1 的 7.0.x。因此，该应用程序受到多个漏洞的影响：

- spring-websocket 模块中 WebSocket 会话的 ID 在密码学上并非不可预测，可能结合不充分的授权规则来利用此问题。（CVE-2026-41838）

- 如果攻击者能够提供模式，然后直接或间接提供给 AntPathMatcher 中的下列方法之一，则应用程序可能容易遭受正则表达式拒绝服务（ReDoS）攻击：
match、matchStart、extractUriTemplateVariables。（CVE-2026-41848）

- 在不受信任的 JMS 环境中，org.springframework.jms.support.converter.MappingJackson2MessageConverter 和 org.springframework.jms.support.converter.JacksonJsonMessageConverter 允许任意类实例化，这可通过小工具类反序列化导致未经授权的操作。（CVE-2026-41855）

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级到 Spring Framework 5.3.49、6.1.28、6.2.18.1、7.0.7.1 或更高版本。

另见

https://spring.io/security/cve-2026-41838

https://spring.io/security/cve-2026-41839

https://spring.io/security/cve-2026-41840

https://spring.io/security/cve-2026-41841

https://spring.io/security/cve-2026-41842

https://spring.io/security/cve-2026-41843

https://spring.io/security/cve-2026-41844

https://spring.io/security/cve-2026-41845

https://spring.io/security/cve-2026-41846

https://spring.io/security/cve-2026-41848

https://spring.io/security/cve-2026-41850

https://spring.io/security/cve-2026-41851

https://spring.io/security/cve-2026-41852

https://spring.io/security/cve-2026-41853

https://spring.io/security/cve-2026-41855

插件详情

严重性: High

ID: 320777

文件名: spring_framework_7_0_8.nasl

版本: 1.1

类型: Local

代理: windows, macosx, unix

系列: Misc.

发布时间: 2026/6/12

最近更新时间: 2026/6/12

配置: 启用全面检查 (optional)

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: High

分数: 7.4

CVSS v2

风险因素: High

基本分数: 7.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N

CVSS 分数来源: CVE-2026-41838

CVSS v3

风险因素: High

基本分数: 8.1

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS 分数来源: CVE-2026-41855

漏洞信息

CPE: cpe:/a:pivotal_software:spring_framework, cpe:/a:vmware:spring_framework

必需的 KB 项: installed_sw/Spring Framework

补丁发布日期: 2026/6/8

漏洞发布日期: 2026/6/8

参考资料信息

CVE: CVE-2026-41838, CVE-2026-41839, CVE-2026-41840, CVE-2026-41841, CVE-2026-41842, CVE-2026-41843, CVE-2026-41844, CVE-2026-41845, CVE-2026-41846, CVE-2026-41848, CVE-2026-41850, CVE-2026-41851, CVE-2026-41852, CVE-2026-41853, CVE-2026-41855

IAVA: 2026-A-0562