Spring Framework 6.2.10 发布，修复 CVE-2025-41242-低调大师

Spring Framework 6.2.10 发布，修复 CVE-2025-41242

2025-08-14 485

Spring 团队正式发布了 Spring Framework 6.2.10，新版本包含 11 个修复和文档改进。其中最重要的是修复了 CVE-2025-41242 漏洞，即 “Path Traversal Vulnerability on non-compliant Servlet containers” （部署在不严格校验路径的 Servlet 容器上可能导致路径遍历）。

根据 Spring 安全公告， CVE-2025-41242 路径遍历漏洞（“Path Traversal Vulnerability”）属于 中等风险级别（MEDIUM）。

漏洞触发条件：

应用部署为 WAR 或使用嵌入式 Servlet 容器；
所用 Servlet 容器未能拒绝类似 ../ 的路径跳转；
应用使用 Spring 的静态资源处理（如 ResourceHandler）来提供资源。
在这些条件都满足时，恶意用户可能构造路径（例如 ../../）执行 路径遍历攻击，访问服务器上非预期的敏感文件。

详情查看 https://spring.io/blog/2025/08/14/spring-framework-6-2-10-release-fixes-cve-2025-41242

微信关注我们

原文链接：https://www.oschina.net/news/366201/spring-framework-6-2-10-release

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

CloudNativePG 1.27.0 发布

CloudNativePG 是一个旨在无缝管理 Kubernetes 环境中 PostgreSQL 数据库的综合开源平台，涵盖了从初始部署到持续维护的整个运营生命周期。其主要组件是 CloudNativePG Operator。 CloudNativePG 1.27.0 现已发布，带来了一些新功能、稳定性改进和扩展功能。 Dynamic Loading of PostgreSQL Extensions 现在可以使用新.spec.postgresql.extensions字段将 PostgreSQL 扩展程序（打包为符合 OCI 标准的容器镜像）挂载为实例 Pod 中的只读、不可变卷。这实现了无需重建基础镜像的动态扩展管理，从而提供更快、更灵活的扩展程序部署。 Logical Decoding Slot Synchronization spec.replicationSlots.highAvailability下新增synchronizeLogicalDecoding选项，实现了跨高可用性集群的逻辑解码槽自动同步功能。这确保了逻辑复制订阅服务器在发布服务器故障转移后能够无缝继续运行，从而...

2025-08-14

364

Syncthing是一个免费开源的工具，它能在你的各个网络计算机间同步文件 / 文件夹，它的同步数据是直接从一个系统中直接传输到另一个系统的，并且它是安全且私密的。 Syncthing 2.0.1 现已发布，具体更新内容如下：修复 fix：允许在没有配置目录的情况下升级（修复#10240）#10241 fix(all)：各种拼写错误#10242 fix(etc)：在 Linux 桌面文件中正确设置启动浏览器的命令#10246 fix(db)：处理包含 URL 特殊字符的路径名（修复#10245）#10247 fix：将默认删除保留期增加至 15 个月#10252 其他 build(deps)：更新（大多数）依赖项#10243 详情可查看更新说明。相关阅读： Syncthing 2.0.0 正式发布，连续文件同步工具

2025-08-14

315

资源下载

更多资源

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源，继承了IntelliJ IDEA强大的JS部分的功能。