Spring Boot Starter Web 4.0.4 曝高危漏洞：Apache Tomcat 组件存在 4 个安全缺陷，最高严重性达 9.1

Spring Boot 生态系统的核心 Web 启动器组件 `spring-boot-starter-web-4.0.4.jar` 被曝存在严重安全风险。安全扫描显示，该版本依赖的 Apache Tomcat 嵌入式核心库 `tomcat-embed-core-11.0.18.jar` 内嵌了 4 个安全漏洞，其中最高严重性评分为 9.1（CVSS 3.x），属于高危级别。这一发现直接指向了广泛使用的 Java 应用开发框架的供应链安全薄弱环节。

漏洞的具体路径已明确。问题库位于构建文件 `/build.gradle.kts` 的依赖链中，其物理路径为 Gradle 缓存目录下的特定 JAR 文件。该漏洞组件在 GitHub 项目 `neziw/Spring-FileHost` 的最新提交（commit `9200939ed00ea9c0f2341f87024dc603fe2b491c`）中被检出，表明使用该版本依赖的活跃项目已直接暴露于风险之下。安全报告以表格形式列出了这些漏洞，但具体 CVE 编号和细节被截断，凸显了信息的不完整性和亟待进一步披露的紧迫性。

此次事件将 Spring Boot 和 Apache Tomcat 维护团队置于安全修复的压力之下。对于全球数百万使用 Spring Boot 构建 Web 服务和微服务的开发者与企业而言，这意味着必须立即审查其项目依赖，确认是否引入了有问题的 `tomcat-embed-core-11.0.18` 版本。虽然报告提及了“修复可能”和“固定版本”字段，但具体修复方案尚未明确给出，这增加了企业安全团队进行风险评估和制定应急升级计划的难度。供应链上游一个广泛使用的开源组件的安全缺陷，其潜在影响范围可能极为广泛。