Spring Boot Starter Security 2.1.12 发现 10 个高危漏洞，最高 CVSS 评分达 9.8

一个长期未更新的 Spring Boot 安全启动器被发现包含多个严重漏洞，为依赖该组件的项目引入了重大安全风险。开源安全扫描工具在 GitHub 仓库 `bturtu405/TestDev` 的提交历史中，检测到项目依赖的 `spring-boot-starter-security-2.1.12.RELEASE.jar` 存在 10 个安全漏洞，其中最高严重性评分为 9.8（CVSS v3）。该漏洞库的实际路径指向其底层依赖 `spring-security-core-5.1.7.RELEASE.jar`，表明核心安全框架版本已严重过时。

具体漏洞细节显示，问题根源在于项目使用的 Spring Security 5.1.7 版本。该版本已于数年前停止维护，但通过 `spring-boot-starter-security-2.1.12` 这个较旧的启动器版本，仍被大量遗留或未及时更新的项目所引入。扫描报告列出了包括 CVE-2022-22978 在内的多个已公开漏洞，这些漏洞可能涉及权限绕过、身份验证缺陷或远程代码执行等高风险攻击向量。报告明确指出，修复方案是升级到更高版本的 `spring-boot-starter-security`。

此事件凸显了软件供应链安全中一个普遍但危险的问题：过时的、已停止社区支持的“僵尸依赖”会持续带来安全债务。对于使用 Spring Boot 2.1.x 系列的企业应用而言，这意味着其安全防线可能建立在已知的脆弱基础之上。开发团队若未建立持续的依赖项监控和升级机制，极易在不知不觉中将高危漏洞引入生产环境，面临数据泄露或服务被接管的风险。该扫描结果是对所有依赖开源组件项目的明确警告。