Spring Session JDBC 3.1.0-RC1 曝出高危漏洞，核心组件 CVSS 评分达 7.5

Spring 生态系统的关键组件 `spring-session-jdbc-3.1.0-RC1.jar` 被安全扫描工具检出包含四个漏洞，其中最高严重性评级为“高危”，CVSS 评分达到 7.5。该漏洞直接影响 Spring Session 与 Spring JDBC 的集成模块，是构建在 Spring Boot 框架上的应用处理用户会话状态的核心依赖。漏洞路径指向一个具体的 Gradle 构建文件，表明该易受攻击的库已被实际引入到项目构建中，增加了潜在的攻击面。

具体漏洞为 CVE-2025-41249，其直接存在于 `spring-core-6.0.8.jar` 这一基础库中。尽管漏洞的利用成熟度尚未定义，且 EPSS（漏洞利用预测评分系统）概率低于 1%，但 7.5 的 CVSS 评分本身已构成显著风险。该漏洞的修复版本已明确，指向 Spring Framework 的 v6.2.11 版本，对应的修复依赖为 `org.springframework:spring-core:6.2.11`。这表明问题根源在于依赖的 Spring Core 版本过旧，而非 Spring Session JDBC 模块本身。

对于使用 Spring Boot 进行开发并依赖会话管理的企业应用而言，此发现构成了直接的安全压力。虽然修复方案明确，但需要开发团队主动升级底层 Spring Core 依赖，这可能涉及复杂的依赖冲突排查和回归测试。在供应链安全日益受到重视的背景下，此类在广泛使用的框架核心组件中发现的高危漏洞，会促使安全团队对相关项目的依赖树进行紧急审查和加固。