Spring Boot Starter Web 2.3.6.RELEASE 发现 68 个漏洞，最高严重性达 9.8 分

一份自动化安全扫描报告揭示了一个广泛使用的 Java 开发框架组件存在严重的安全风险。在 `spring-boot-starter-web-2.3.6.RELEASE.jar` 库中，共检测到 68 个安全漏洞，其中最高严重性评分为 9.8 分（满分 10 分），这属于“严重”级别。该库是构建 Web 和 RESTful 应用程序的 Spring Boot 核心启动器，默认使用 Tomcat 作为嵌入式容器，其安全问题可能影响大量依赖此版本的企业级应用。

漏洞报告明确指出，受影响的库文件位于项目依赖管理文件 `/client-management-service-impl/pom.xml` 的路径中，具体位置在 Maven 本地仓库的多个路径下。这表明该漏洞组件已被集成到一个具体的服务实现项目中，并非孤立的测试环境。Spring Boot 作为全球 Java 生态系统的基石，其 2.3.6.RELEASE 版本中存在的如此高密度和高危的漏洞集合，为使用该版本构建的生产系统带来了迫在眉睫的威胁。

此次发现将直接对依赖 Spring Boot 2.3.x 系列版本进行快速应用开发的企业和开发团队构成压力。鉴于该启动器涉及 Web 层和默认的 Tomcat 容器，相关漏洞可能被利用进行远程代码执行、权限提升或拒绝服务攻击。开发和安全团队需要立即审查其项目依赖，评估升级到已修复漏洞的更新版本的必要性。这一事件也凸显了在持续集成/持续部署（CI/CD）流程中，对第三方依赖进行自动化漏洞扫描和供应链安全管理的重要性。