Spring Data 严阵以待，连修 12 个高危漏洞

今日重磅，Spring Data 团队紧急发布 2025.1.6 和 2025.0.12 版本，一口气修复了包括拒绝服务、SpEL 注入及数据泄露在内的 12 个 CVE 漏洞。对于深陷 Java 生态的开发者而言，这不仅是一次常规依赖升级，更是一场关乎应用底线的防御战，尤其是涉及 MongoDB 和 REST 接口的用户，必须立即行动。

核心安全：SpEL 注入与数据逃逸

Spring Data 2025.1.6 and 2025.0.12 released - 这次更新虽然看似只是常规的服务发布，但其背后的安全清单却让人脊背发凉。Spring Data 团队此次清理了大量的“技术债务”式漏洞，其中最引人注目的是针对 SpEL（Spring Expression Language）注入的修复。具体来看，CVE-2026-41717 暴露了 MongoDB 在注解查询参数绑定时的 SpEL 注入漏洞，而 CVE-2026-41729 则显示 JSON Patch 请求中的 Map Key 也能触发注入。

这些漏洞为什么重要？因为 SpEL 注入往往意味着 RCE（远程代码执行）的前奏。在微服务架构盛行的当下，一旦攻击者能够操控表达式语言，他们就能绕过沙箱限制，执行任意系统命令。这不仅是代码质量的问题，更是企业安全防线的失守。如果你正在使用 MongoDB 或 Spring Data REST，这次升级不再是“可选项”，而是“必选项”。

架构韧性：拒绝服务与内部防护

紧随其后的是关于拒绝服务和内部信息泄露的修复。在 CVE-2026-41695 和 CVE-2026-41711 中，我们发现攻击者可以通过精心构造的属性路径和排序参数，轻而易举地耗尽服务器资源。这直接威胁到高并发系统的可用性。更令人担忧的是 CVE-2026-41730 和 CVE-2026-41837，它们揭示了 Spring Data REST 在异常处理和 Querydsl 集成中，竟然直接暴露了持久层的内部结构和 Jackson 试图隐藏的持久字段。

对于开发者而言，这意味着你的数据库表结构可能正在被“裸奔”。在错误响应中泄露底层实现细节，无异于给攻击者绘制了一张攻击蓝图。这次 Spring 团队的快速反应值得点赞，但也给我们敲响了警钟：在享受框架带来的便捷时，我们往往忽略了其自动暴露的攻击面。随着 Spring Boot 预计在下周同步引入这些更新，建议所有技术团队立即启动代码审查和升级预案，切莫等到生产环境报警才追悔莫及。