Spring Boot Starter Web 3.1.0 曝 13 项漏洞，最高严重性达 8.1，且可被利用

Spring Boot 生态系统的核心依赖组件 `spring-boot-starter-web-3.1.0.jar` 被安全扫描工具检出存在 13 项安全漏洞，其中最高严重性评分为 8.1（高危）。关键点在于，这些漏洞被标记为“可被利用”（Reachable），这意味着攻击者有可能通过应用程序的特定路径触发这些漏洞，而不仅仅是存在于依赖树中。漏洞详情列表指向了底层依赖 `spring-webmvc-6.0.9.jar`，表明问题根源在于 Spring Framework 的 Web MVC 模块。

此次曝光的漏洞中，最严重的是 CVE-2024-22262，其 CVSS 评分为 8.1，被归类为高危漏洞。安全报告提供了详细的漏洞列表，包括严重性、CVSS 评分、利用成熟度、EPSS（漏洞利用预测评分系统）百分比、依赖项、类型以及修复版本信息。报告明确指出，对于 `spring-boot-starter-web`，存在可用的修复版本。这为依赖此组件的开发团队施加了立即采取行动的压力。

对于全球范围内使用 Spring Boot 构建 Web 应用程序的无数企业和开发团队而言，这是一个直接的安全威胁。未及时升级到修复版本可能导致应用面临远程代码执行、拒绝服务或信息泄露等风险。鉴于 Spring Boot 在 Java 企业级开发中的普及性，此漏洞的影响范围可能非常广泛。开发者和运维团队需要立即审查其项目依赖，将 `spring-boot-starter-web` 及相关 Spring Framework 组件升级至已修复的安全版本，以缓解潜在攻击面。