本博客日IP超过2000,PV 3000 左右,急需赞助商。
极客时间所有课程通过我的二维码购买后返现24元微信红包,请加博主新的微信号:xttblog2,之前的微信号好友位已满,备注:返现
受密码保护的文章请关注“业余草”公众号,回复关键字“0”获得密码
所有面试题(java、前端、数据库、springboot等)一网打尽,请关注文末小程序
【腾讯云】1核2G5M轻量应用服务器50元首年,高性价比,助您轻松上云
最近有一个网友在群里问我,都 2026 年了,为什么 Spring Cloud 的新版本还没有出来,发布的还是 2025 年的版本。比如,最近官方发布更新了一个 Spring Cloud 2025.0.2 (Northfields) 版本。可 2025.1.1 版本都有了,为什么低版本的还在更新。
你别说,不止一个群友有这样的疑问,好几个群友都感觉 Spring Cloud 的版本号有些乱。当时我在群里回了一下,这会抽空整理一篇文章,分享给大家。同时说一说,这个 Spring Cloud 2025.0.2 到底更新了啥。
版本号的困惑
为什么 2026 年还在发 2025.x 版本?
这就不得不说,Spring Cloud 版本号背后的秘密与安全修复了。
Spring Cloud 在 2026 年 4 月 2 日,也就是上周,发布了2025.0.2版本(代号 Northfields),而在此之前,2025.1.1(代号 Oakwood)已经发布。
这个版本我主要看了一下,最重要的更新就是漏洞修复,以及部分依赖升级。与此同时,2026 年已经过去三分之一了,2026 开头的版本还不见踪影。那下面,我就解读一下 Spring Cloud 的版本号命名规则。
版本号命名规则解析
文章配图参见我的公众号 https://mp.weixin.qq.com/s/hdKn6ezmNqkQSQuXy4BsdA。
Spring Cloud 自 2020 年起采用日历版本控制(CalVer)模式,格式为 YYYY.MINOR.MICRO。
- YYYY:代表发布列车(Release Train)的起始年份
- MINOR:次要版本号,每年从 0 开始递增
- MICRO:补丁版本号,对应以前的 Service Release(SR)
2025.0.x和2025.1.x是两个并行的发布列车(Release Train),它们分别对应不同的 Spring Boot 版本。
| 发布列车 | 代号 | 兼容 Spring Boot | 发布时间 |
|---|---|---|---|
| 2025.0.x | Northfields | 3.5.x | 2025 年 5 月首发 |
| 2025.1.x | Oakwood | 4.0.x | 2025 年 11 月首发 |
这意味着:
- 2025.0.2 是基于 Spring Boot 3.5.x 的维护版本
- 2025.1.1 是基于 Spring Boot 4.0.x 的新特性版本
所以,这两个版本线会并行维护,为不同升级节奏的用户提供支持。
2025.0.2 重点更新内容
根据官方发布说明,本次更新包含以下核心内容。
修复 CVE-2026-22739
安全修复高危漏洞 CVE-2026-22739。
这是本次更新最重要的修复。Spring Cloud Config Server 存在一个路径遍历漏洞。
- 漏洞描述:当 Config Server 使用本地文件系统(native)作为后端时,攻击者可以通过构造恶意的
profile参数,访问配置目录之外的任意文件,甚至发起 SSRF 攻击 - CVSS 评分:8.6(高危)
- 影响版本:3.1.x < 3.1.13、4.1.x < 4.1.9、4.2.x < 4.2.3、4.3.x < 4.3.2、5.0.x < 5.0.2
官方建议的修复方案还是很老套,建议升级至对应修复版本。其中 2025.0.2 包含的 Spring Cloud Config 4.3.2 已修复此漏洞。
核心组件升级
| 组件 | 升级至版本 | 更新内容 |
|---|---|---|
| Spring Cloud OpenFeign | 4.3.2 | OpenFeign 底层库升级至 13.6.1 |
| Spring Cloud Kubernetes | 3.3.2 | Fabric8 客户端升级至 7.3.2 |
| Spring Cloud Netflix | 4.3.2 | Eureka 升级至 2.0.6,移除 commons-configuration 传递依赖 |
| Spring Cloud Gateway | 4.3.4 | 网关组件例行维护更新 |
| Spring Cloud Contract | 4.3.3 | 契约测试组件更新 |
| Spring Cloud Build | 4.3.3 | 构建基础设施更新 |
这是依赖库的常规更新。
基础版本
本次发布基于Spring Boot 3.5.13,为 3.5.x 用户提供最新的补丁和安全修复。
也就是说这个漏洞修复,以及底层依赖库更新,不针对历史其它版本以及 Spring Boot 4.x 的版本。因为,其它版本的要么不维护了,要么没这个漏洞,要么已经早一步更新过了。
总的来说,这个版本更新很鸡肋。最高优先级的就是 CVE-2026-22739 这个漏洞,它允许攻击者读取服务器上的任意文件。因此,官方给的建议是立即升级,毕竟官方推荐安全大约一切。
相关的 Maven 配置如下所示。
<dependencyManagement>
<dependencies>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-dependencies</artifactId>
<version>2025.0.2</version>
<type>pom</type>
<scope>import</scope>
</dependency>
</dependencies>
</dependencyManagement>总结
Spring Cloud 2025.0.2 是一次重要的维护版本发布,虽然版本号看起来“过时”,但它为仍在使用 Spring Boot 3.5.x 的用户提供了关键的安全修复(特别是 CVE-2026-22739)和组件更新。
版本号不是目的,稳定和安全才是王道。无论你选择 2025.0.x 还是 2025.1.x,都建议使用对应发布列车的最新 Service Release 版本,以获得最佳的稳定性和安全性。
最后,欢迎关注我的个人微信公众号:业余草(yyucao)!可加作者微信号:xttblog2。备注:“1”,添加博主微信拉你进微信群。备注错误不会同意好友申请。再次感谢您的关注!后续有精彩内容会第一时间发给您!原创文章投稿请发送至532009913@qq.com邮箱。商务合作也可添加作者微信进行联系!
本文原文出处:业余草: » Spring Cloud 2025.0.2 发布,修复路径遍历漏洞 CVE-2026-22739