Spring Framework 6.2.10 发布，修复 CVE-2025-41242

2025-08-15 發表於开源资讯

Spring 团队正式发布了 Spring Framework 6.2.10，新版本包含 11 个修复和文档改进。其中最重要的是修复了 CVE-2025-41242 漏洞，即 “Path Traversal Vulnerability on non-compliant Servlet containers” （部署在不严格校验路径的 Servlet 容器上可能导致路径遍历）。

根据 Spring 安全公告， CVE-2025-41242 路径遍历漏洞（“Path Traversal Vulnerability”）属于 中等风险级别（MEDIUM）。

漏洞触发条件：

应用部署为 WAR 或使用嵌入式 Servlet 容器；
所用 Servlet 容器未能拒绝类似 ../ 的路径跳转；
应用使用 Spring 的静态资源处理（如 ResourceHandler）来提供资源。
在这些条件都满足时，恶意用户可能构造路径（例如 ../../）执行 路径遍历攻击，访问服务器上非预期的敏感文件。

详情查看 https://spring.io/blog/2025/08/14/spring-framework-6-2-10-release-fixes-cve-2025-41242

相關推薦

Spring Framework 6.0.8、5.3.27、5.2.24 发布，修复 cve 漏洞

2023-04-14

Spring Framework 团队发布了 Spring Framework 6.0.8、5.3.27 和 5.2.24 版本，修复了 cve-2023-20863 。 Spring Framework 6.0.8 附带 60 个修复和文档改进，包括 5 个回归修复。 Spring Framework 5.3.27 附带 20 个修复和文档改进，包括 4 个回

Spring Framework 5.3.28 & 6.0.10 发布

2023-06-19

Spring Framework 5.3.28 和 6.0.10 已发布。 Spring Framework 5.3.28 包含 17 个修复和文档改进，以及 3 个回归修复。该版本将与 Spring Boot 2.7.13 一起将于下周发布。部分新特性 AbstractBeanFactoryBasedTargetSource.hashCode() 中的性能优化

Spring Framework 6.1.12、6.0.23、5.3.39 和 6.2.0-M7 发布

2024-08-16

Spring Framework 6.1.12、6.0.23 和 5.3.39 现已发布。其中： Spring Framework 6.1.12包含 43 项修复和文档改进。该版本将与下周发布的 Spring Boot 3.2.9 和 Spring Boot 3.3.3 一起发布。 Spring Framework6.0.23包含 14 项修复和文档改进

Spring Framework 6.0 RC4 发布

2022-11-12

Spring Framework 6.0.0 发布了第四个 RC 版本。此版本包括 12 项 Bugfix 和功能改进，应该是 Spring Framework 6.0.0 正式 GA 前的最后一个 RC 版本，目前计划于 11 月中旬发布正式版。新特性为 SQL Server 序列引入 DataFieldMaxValueIncrementer

Spring Framework 6.2.5 发布

2025-03-21

Spring Framework 6.2.5 现已发布，包含 14 项修复和文档改进。这是一个周期外的版本，修复了此前引入的 JAR 扫描回归问题。 New Features 在spring-core-test中建立对 AssertJ 和 JUnit 的依赖可选 #34612 当AspectJAdviceParameterNameDiscovere

Spring Framework 6.1.19 & 6.2.6 发布

2025-04-19

Spring Framework6.1.19和6.2.6现已可用。其中，Spring Framework6.1.19附带 11 项修复和文档改进内容；Spring Framework6.2.6附带 35 项修复和文档改进内容。 v6.2.6 新功能 SimpleAsyncTaskExecutor 在达到限制时抛出异常的选项 #34727

Spring Framework 6.0.6 发布

2023-03-04

Spring Framework 6.0.6 现已发布，包含了 109 项修复和文档改进；Spring Boot 3.0.4 搭载了 Spring Framework 6.0.5。此版本主要变化包括：新功能在 ReactorServerHttpRequest 中优先请求 hostName 和 hostPort #30062 当 contentLength 可用时在 Byt

Spring Framework 6.0.2 发布

2022-11-26

Spring Framework 6.0.2 现已可用，包含了 4 项 bugfix 和文档改进。新特性在 Bean Validation 3.0 中依赖标准参数名称解析 #29566 Bug 修复 ResponseStatusException 不使用原因来设置“detail”字段#29567 LocalVariableTableParamet

Spring Framework 6.1.11 发布

2024-07-13

Spring Framework 6.1.11 现已发布，包含 31 项修复和文档改进。 New Features 在 SpEL 的ReflectionHelper中确保MethodHandle的 varargs 组件类型不为null#33193 在响应过程中出现Reactor-NettyPrematureCloseException时，WebClient 异常消息会引起混淆 #331

Spring Framework 6.0.0-M6 和 5.3.23 发布

2022-09-17

Spring Framework 6.0.0-M6 和 5.3.23 已发布。 Spring Framework5.3.23包含 32 项修复和改进，建议所有在生产环境使用的用户都进行升级。 5.3.23 主要变化引入 AnnotationUtils.isSynthesizedAnnotation(Annotation) #29054 在 AbstractGenericWebContextLoa

Spring Framework 6.0.0-M4 发布

2022-05-19

Spring Framework 6.0.0 发布了第 4 个里程碑版本，此版本包含所有针对 5.3.20 的修复补丁，以及特定于 6.0 分支的 39 项修复和改进。主要变化为核心直接添加原生提示 #28442 将 byte[] 添加到 SimpleJmsHeaderMapper 中支持的类型 #28421

Spring Framework 6.0.5 发布

2023-02-17

Spring Framework 6.0.5 现已发布，包含了 109 项修复和文档改进。下周发布的 Spring Boot 3.0.3 将搭载 Spring Framework 6.0.5。此版本主要变化包括：将 RFC-8246“immutable”属性添加到CacheControl #29955 允许 MockRest 将 header/queryParam 值

Spring Framework 6.0 RC1 发布

2022-10-14

Spring Framework 6.0 发布了首个 RC 版本。发布公告写道，Spring Framework 6.0 作为重大更新，目前 RC1 要求使用 Java 17 或更高版本，并且已迁移到 Jakarta EE 9+（在jakarta命名空间中取代了以前基于javax的 EE API），以及对其他基础设施

Spring Framework 6.0.3 现已可用，包含了 48 项修复和文档改进。新特性抛出 PessimisticLockingFailureException/CannotAcquireLockException 而不是普通的 ConcurrencyFailureException #29675 在MockClientHttpRequest和MockClientHttpResponse中引入额外的构造函