CVE-2025-41254 in Spring FrameworkИнформация

Сводка

по VulDB • 20.05.2026

Приложения STOMP поверх WebSocket могут быть уязвимы к обходу безопасности, позволяющему злоумышленнику отправлять несанкционированные сообщения.

Затронутые продукты и версии Spring Framework:

* 6.2.0 - 6.2.11 * 6.1.0 - 6.1.23 * 6.0.x - 6.0.29 * 5.3.0 - 5.3.45 * Также затронуты более старые версии, которые больше не поддерживаются.

Меры по устранению пользователям затронутых версий следует обновиться до соответствующей исправленной версии.

Затронутая версия(и) | Исправленная версия | Доступность --- | --- | --- 6.2.x | 6.2.12 | OSS 6.1.x | 6.1.24 | Коммерческая https://enterprise.spring.io/ 6.0.x | Недоступно | Поддержка прекращена https://spring.io/projects/spring-framework#support 5.3.x | 5.3.46 | Коммерческая https://enterprise.spring.io/

Дополнительные меры по устранению не требуются.

Благодарности Эта уязвимость была обнаружена и ответственно сообщена Яннисом Кайзером (Jannis Kaiser).

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

Vmware

Резервировать

16.04.2025

Раскрытие

16.10.2025

Модерация

принято

Вход

VDB-328812

EPSS

0.00293

KEV

Нет

Деятельности

Очень низкий

Источники

Want to know what is going to be exploited?

We predict KEV entries!