Spring Data MongoDB 4.1.0-RC1 曝出 4 项漏洞，最高严重性达 7.5 分 [main]

Spring Data MongoDB 的一个关键候选版本被曝存在多个高危安全漏洞。在 `spring-data-mongodb-4.1.0-RC1.jar` 库中，扫描发现了四项漏洞，其中最高严重性评分为 7.5 分（CVSS 3.x）。该漏洞库的路径指向 `/spring-boot-project/spring-boot-testcontainers/build.gradle` 文件，表明其在 Spring Boot 测试容器项目中被直接依赖。这一发现将 Spring 生态系统中一个核心数据访问组件推向了安全风险的中心。

具体而言，最严重的漏洞被标识为 CVE-2025-41249，评级为“高危”，直接影响 `spring-core-6.0.8.jar`。尽管其利用成熟度“未定义”且 EPSS 评分低于 1%，但 7.5 的 CVSS 分数本身已构成显著威胁。官方修复版本已指向 `org.springframework:spring-core:6.2.11`。值得注意的是，此漏洞被标记为“直接”依赖，意味着其影响路径清晰，无需复杂的传递依赖即可触发。

此次漏洞曝光正值 Spring Data 项目发布新版本之际，对依赖该候选版本进行开发或测试的团队构成了直接压力。虽然修复方案已明确提供，但漏洞存在于一个广泛使用的数据持久化框架的候选发布版中，这引发了对其发布前安全审查流程的审视。对于任何在生产或准生产环境中使用或测试此版本的项目，应立即评估升级至安全版本的必要性，以避免潜在的数据泄露或服务中断风险。