Spring Boot Starter Web 2.3.4 发现 67 个漏洞，最高严重性达 9.8 分

Spring Boot 生态系统中一个广泛使用的核心依赖组件被曝存在严重安全风险。自动化安全扫描在 `spring-boot-starter-web-2.3.4.RELEASE.jar` 中识别出总计 67 个安全漏洞，其中最高严重性评分为 9.8 分（CVSS v3），属于危急级别。该组件是构建 Web 和 RESTful 应用程序的默认启动器，并默认使用 Tomcat 作为嵌入式容器，这意味着任何依赖此版本的项目都可能将自身暴露在多重高危攻击面之下。

漏洞发现于一个用于安全演示的 GitHub 仓库（DimaMend/secDevLabs）的特定提交中，路径指向其 Maven 构建配置文件（pom.xml）。虽然此实例出现在一个演示项目里，但它清晰地揭示了使用该过时库版本所带来的实际、可复现的风险。每个漏洞的具体细节，包括其 CVE 编号、严重性评分和潜在影响，通常会在完整的漏洞报告中列出，但仅凭 67 个漏洞和 9.8 分的最高分这一事实，就足以对依赖此版本的所有生产系统发出强烈警告。

这一发现对使用 Spring Boot 2.3.4 系列或更早版本进行开发的企业和开发者构成了直接压力。它凸显了在软件供应链中持续进行依赖项管理和及时升级的极端重要性。未能及时更新此组件可能会使应用程序面临远程代码执行、敏感数据泄露或服务中断等风险。尽管 Spring 官方很可能已在后续版本中修复了这些漏洞，但此报告表明，旧版本在野生环境中的残留使用仍然是一个普遍且危险的安全盲点。