Spring Framework MVC 曝路径遍历漏洞 (CVE-2025-41242)，特定部署条件下可导致敏感信息泄露

Spring Framework 的核心 Web 模块 `spring-webmvc` 被曝存在一个中等严重性的路径遍历漏洞（CVE-2025-41242，GHSA-r936-gwx5-v52f）。该漏洞在特定部署条件下，可能允许攻击者绕过安全限制，访问 Web 应用程序根目录之外的文件，导致敏感信息泄露。其 CVSS v3.1 评分为 7.5，归类为 CWE-22（路径遍历）。

该漏洞的触发条件较为具体，需要同时满足三个关键因素：首先，应用程序必须以 WAR 包形式部署，或使用嵌入式 Servlet 容器；其次，所使用的 Servlet 容器未能按照 Jakarta Servlet 6.1 规范的要求，拒绝包含可疑序列（如 `../`）的请求路径；最后，应用程序本身配置了静态资源服务。当这些条件齐备时，攻击者可能通过精心构造的 HTTP 请求，利用容器对 URI 路径规范化处理的缺陷，访问到本应受保护的服务器文件系统路径。

此漏洞主要影响使用 `org.springframework:spring-webmvc` 版本 6.1.6 的 Spring MVC 应用。虽然漏洞评级为“中等”，且利用需要特定环境配置，但它突显了应用框架与底层容器之间安全边界对齐的重要性。开发者和运维团队需要检查其部署环境，确保 Servlet 容器符合规范并已应用安全补丁，同时评估其静态资源服务配置是否存在潜在风险。