spring

　　CVE-2025-41254是Spring Framework里与STOMP over WebSocket相关的安全绕过问题，攻击者可能借此发送未授权的消息。它不是所有Spring应用都会中招，主要命中使用WebSocket加STOMP消息的那类系统，所以先判定自己是否用了这条技术栈，再谈升级与风险评估，会更高效。

　　一、CVE-2025-41254会影响到哪些版本

　　这次漏洞影响的是Spring Framework多个维护分支中的一段版本区间，官方公告给出的受影响范围如下。

　　1、Spring Framework 6.2.0到6.2.11

　　2、Spring Framework 6.1.0到6.1.23

　　3、Spring Framework 6.0.x到6.0.29

　　4、Spring Framework 5.3.0到5.3.45

　　5、更旧且已不受支持的版本同样可能受影响

　　补一句实用判断口径：只有当你的应用属于STOMP over WebSocket场景时，这个问题才真正构成风险面；纯HTTP接口项目或仅用原生WebSocket而不走STOMP消息的项目，通常不在这次问题的主影响面里。

　　二、CVE-2025-41254漏洞严不严重

　　从官方定级和CVSS评分看，它属于中等风险，但在某些业务形态下依旧值得尽快处理。

　　1、官方定级为Medium，中等风险

　　2、VMware给出的CVSS v3.1基准分为4.3，向量为AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N，意味着网络可达、无需权限、需要用户交互、主要影响是完整性为低影响

　　3、为什么很多团队仍会重视：它发生在消息通道层面，一旦你的STOMP消息处理器映射了下单、改价、状态流转、审批触发这类业务动作，攻击者能不能“发送未授权消息”，实际后果往往取决于你在消息处理链上做的鉴权和业务校验是否足够严

　　4、什么时候可以相对放低优先级：你的STOMP消息只用于低价值通知，或消息处理端做了严格的认证校验与业务幂等校验，即便被发送消息也无法越权执行敏感操作，这种情况下它更贴近中等风险的定义

　　三、怎么修复与落地排查

　　官方给出的缓解措施很直接，升级到对应修复版本即可，并明确写了不需要额外的临时绕过措施。

　　1、直接升级Spring Framework到修复版本

　　6.2.x升级到6.2.12，这是开源可用的修复版本

　　6.1.x修复版本为6.1.24，但标注为商业可用

　　5.3.x修复版本为5.3.46，但标注为商业可用

　　6.0.x分支标注为无修复版本且已停止支持，实际落地做法通常是迁移到仍受支持的分支，例如升级到6.2.12

　　2、如果你是Spring Boot项目，优先用Boot版本把Spring Framework一起带上去

　　官方博客说明Spring Framework 6.2.12会随Spring Boot 3.4.11与3.5.7一并发布，升级Boot到对应版本能更省心地对齐依赖管理

　　3、三步自查你到底中不中招

　　第一步，确认是否依赖spring-websocket并启用了STOMP消息，常见信号是项目里有 EnableWebSocketMessageBroker或实现了WebSocketMessageBrokerConfigurer

　　第二步，确认Spring Framework版本是否落在受影响区间内

　　第三步，确认对外暴露的WebSocket端点是否面向公网或不受信任网络，以及消息处理方法是否会触发敏感业务动作，把这两点对齐后再决定升级优先级

　　4、修复后怎么验收

　　升级完成后，最务实的验收方式是回归你的WebSocket握手、订阅、发送消息、以及鉴权链路，确认合法用户消息不受影响，并重点验证未认证或跨站触发路径无法再驱动你的消息处理器执行敏感动作

　　总结

　　CVE-2025-41254影响Spring Framework在6.2.0到6.2.11、6.1.0到6.1.23、6.0.x到6.0.29、5.3.0到5.3.45等版本区间，且更旧的不受支持版本也可能受影响。

　　它的官方定级是中等，CVSS v3.1为4.3，是否“严重”取决于你是否使用STOMP over WebSocket以及消息处理是否能触发高价值业务动作。

　　处理上按官方建议升级到6.2.12等对应修复版本即可，官方同时写明不需要额外的临时缓解措施。