Spring Security 6.1.0-RC1 曝高危漏洞，CVSS 评分高达 8.2

Spring Security 框架的 6.1.0 首个候选发布版本（RC1）中，其核心组件 `spring-security-data` 被检出存在两个安全漏洞，其中最高严重性漏洞的 CVSS 评分达到 8.2 分，属于高危级别。这一发现直接指向了 Spring 生态系统中一个关键安全模块的预发布版本，为依赖该框架的开发者敲响了警钟。

具体漏洞信息显示，编号为 CVE-2024-22257 的漏洞存在于 `spring-security-core-6.1.0-RC1.jar` 中，被标记为直接影响（Direct）库的高危（High）漏洞。该漏洞的利用成熟度（Exploit Maturity）尚未定义，但其高 CVSS 评分意味着一旦被利用，可能造成严重后果。受影响的库文件路径明确指向 Gradle 构建缓存中的特定版本。

尽管该漏洞目前出现在预发布（Release Candidate）版本中，但其高风险评分对依赖 Spring Security 进行应用安全构建的开发团队构成了直接压力。这要求所有正在测试或评估 6.1.0 版本的项目立即审查其依赖项，并密切关注官方修复版本。此类核心安全框架的漏洞，若流入生产环境，可能成为攻击者利用的突破口，影响应用的数据安全与访问控制。