spring
CVE-2026-41002:Spring Cloud Config Server 易受 TOCTOU 攻击影响
高危 | 2026年5月6日 | CVE-2026-41002
描述
Spring Cloud Config Server 用于克隆 Git 仓库的基础目录 spring.cloud.config.server.git.basedir 存在安全风险,可能受到 TOCTOU 攻击影响。TOCTOU 是 time-of-check-time-of-use 的缩写,通常指程序在检查资源状态和实际使用资源之间存在时间差,攻击者可能利用这一间隙改变文件、路径或链接状态,从而让系统访问到非预期资源。
在 Spring Cloud Config Server 场景中,该目录通常用于存放从 Git 仓库克隆下来的配置内容。如果攻击者能够影响相关目录、文件路径或运行环境,就可能借助这一时间窗口触发异常访问或文件操作风险。由于配置中心往往承载多个应用的配置数据,该漏洞需要被重点关注。
受影响的 Spring 产品和版本
受影响产品为 Spring Cloud Config,涉及以下版本:
● 3.1.x
● 4.1.x
● 4.2.x
● 4.3.x
● 5.0.x
● 更早且已停止支持的版本同样受到影响
缓解措施
受影响版本的用户应升级到对应的修复版本。对于生产环境中的 Spring Cloud Config Server,建议优先排查当前版本,并根据所使用的分支选择相应修复版本。
处理建议
建议开发和运维团队先确认 Spring Cloud Config Server 是否启用了 Git 后端,并检查 spring.cloud.config.server.git.basedir 的实际配置位置。该目录不应放在可被普通用户、业务进程或其他服务随意写入的位置,也不建议与临时目录、共享目录混用。
在升级完成前,可以从三方面降低风险:一是限制 Config Server 所在主机的文件系统权限,确保运行账号只拥有必要读写权限;二是检查基础目录中是否存在异常符号链接、异常文件或不明来源内容;三是结合访问日志和系统日志排查是否存在异常仓库请求、频繁克隆、路径变更或文件访问失败记录。
对于配置中心这类基础设施服务,修复版本升级仍是优先处理方式。权限收敛、目录隔离和日志审计可以作为补充措施,但不应替代版本修复。
