spring
CVE-2026-40982:spring-cloud-config-server 存在目录遍历漏洞
严重 | 2026年5月6日 | CVE-2026-40982
Spring Cloud Config 允许应用通过 spring-cloud-config-server 模块向客户端提供文本文件和二进制文件。在正常场景下,这一能力用于集中管理配置文件,并让不同应用按需读取对应环境下的配置内容。
该漏洞的问题在于,恶意用户或攻击者可以构造特殊 URL 向配置服务器发送请求,从而触发目录遍历攻击。目录遍历通常意味着请求路径可能绕过原本设定的访问目录边界,访问到服务器上不应被外部读取的文件。对于配置中心来说,这类问题风险较高,因为配置服务器常常与应用配置、环境信息、凭据路径或内部文件结构相关联,一旦访问控制不足,可能带来敏感信息泄露风险。
受影响的 Spring 产品和版本
受影响产品为 Spring Cloud Config,涉及以下版本:
● 3.1.x
● 4.1.x
● 4.2.x
● 4.3.x
● 5.0.x
● 更早且已停止支持的版本同样受到影响
缓解措施
受影响版本的用户应尽快升级到对应的修复版本。升级是主要处理方式,尤其是对已经部署在生产环境中的配置中心服务,应优先完成版本排查和修复计划。
处理建议
在完成升级前,建议先排查配置服务器是否暴露在公网环境中,是否存在未授权访问入口,以及是否对配置文件目录、后端仓库路径和访问策略进行了限制。对于无法立即升级的环境,应尽量减少配置服务器可访问的文件范围,并通过网络访问控制、身份认证和权限隔离降低风险。
同时,建议开发和运维团队检查配置中心的访问日志,重点关注异常路径、特殊字符、连续目录跳转符号以及非正常配置文件请求。若发现可疑访问,应结合网关日志、应用日志和服务器文件访问记录进一步确认影响范围,并及时更新相关密钥、凭据或访问令牌。
