Spring Boot Actuator 2.1.12 曝高危漏洞，最高 CVSS 评分达 9.8

在 GitHub 仓库 `bturtu405/TestDev` 的依赖扫描中，一个广泛使用的 Java 框架组件被标记存在严重安全风险。Spring Boot Actuator 的 2.1.12.RELEASE 版本被检出包含三个漏洞，其中最高严重性评分为 9.8（CVSS v3），这属于最高级别的安全威胁。该漏洞库的路径为 `/home/wss-scanner/.m2/repository/org/springframework/boot/spring-boot-actuator-autoconfigure/2.1.12.RELEASE/spring-boot-actuator-autoconfigure-2.1.12.RELEASE.jar`，其依赖关系定义在项目的 `/pom.xml` 文件中。

此次发现的漏洞直接关联到 Spring Boot 的监控和管理端点模块。Actuator 端点通常用于提供应用健康检查、指标收集和运行时信息，但若配置不当或存在漏洞，可能成为攻击者入侵系统的入口。扫描报告明确指出，该问题存在于特定的 2.1.12 版本中，并提供了相应的修复版本信息。这表明问题并非最新发现，而是存在于一个较旧的稳定版中，可能影响大量仍在使用该版本进行维护的遗留系统。

对于任何在生产环境中使用 Spring Boot 2.1.12 系列并启用了 Actuator 功能的开发团队而言，这是一个必须立即处理的警报。此类高危漏洞可能导致远程代码执行、敏感信息泄露或服务拒绝等严重后果。开发人员需要立即检查项目依赖，并按照报告指引升级到已修复的安全版本，同时审查 Actuator 端点的暴露和访问控制配置，以降低被利用的风险。