Spring Boot Starter Security 3.4.0 曝 14 项漏洞，最高严重性达 9.1 分且可被利用

Spring Boot 生态系统的核心安全组件被发现存在严重安全缺陷。一份来自 GitHub Issues 的漏洞扫描报告显示，`spring-boot-starter-security-3.4.0.jar` 库中识别出多达 14 个安全漏洞，其中最高严重性评分为 9.1（CVSS v3）。更关键的是，报告明确指出这些漏洞是“可被利用的”，这意味着攻击者有可能通过应用程序的特定路径触发这些漏洞，而非仅存在于未使用的依赖中。该漏洞链的根源指向一个传递依赖：`ch.qos.logback/logback-classic/1.5.12`。

具体漏洞细节显示，问题存在于依赖文件 `/src/test/externalApp/externalApp.gradle` 所引用的库中。漏洞类型多样，涵盖了从高到严重级别的多种风险。报告以表格形式列出了包括 CVE-2025-41232 在内的多个漏洞条目，并提供了 CVSS 评分、依赖项、类型以及修复版本等信息。这表明问题并非单一缺陷，而是一个涉及多个组件的漏洞集合，影响了基于此版本构建的应用程序的安全基线。

对于全球范围内使用 Spring Boot 框架进行企业级应用开发的团队而言，此发现构成了直接且紧迫的安全压力。`spring-boot-starter-security` 作为提供认证和授权功能的标准启动器，其漏洞可能危及大量生产系统的安全。开发和安全团队需要立即审查其项目依赖，确认是否受此漏洞链影响，并评估升级至已修复版本或采取其他缓解措施的可行性。此类在广泛使用的核心框架中发现的可利用高危漏洞，通常会成为自动化攻击工具的目标，从而放大其潜在影响范围。