Spring Boot 依赖链曝出 OpenSAML 核心库安全漏洞，最高 CVSS 5.5 影响身份验证安全

Spring Boot 项目的自动配置模块依赖链中，一个关键的安全库被曝存在多个未修复的中危漏洞，可能影响依赖该库的身份验证与安全断言功能。漏洞报告显示，在 `spring-boot-autoconfigure` 模块的构建文件中，检测到了 `opensaml-core-4.0.1.jar` 库，该库的传递依赖项 `guava` 存在两个已公开的 CVE 漏洞，最高 CVSS 评分为 5.5。这些漏洞目前没有可用的修复版本，且其可利用性成熟度尚未明确界定，构成了潜在的供应链安全风险。

具体而言，漏洞 CVE-2023-2976 影响了两个不同版本的 `guava` JAR 包（30.1-jre 和 28.2-jre），它们作为 OpenSAML 核心库的传递依赖被引入。OpenSAML 是一个广泛用于实现 SAML 协议进行单点登录和身份联合的库，其核心组件出现漏洞，可能波及所有使用 Spring Boot 自动配置并间接依赖此库的应用程序。报告路径指向 Gradle 构建缓存中的具体文件，表明这是一个可复现的、嵌入在标准开发工具链中的风险点。

尽管 EPSS（漏洞利用预测评分系统）评分目前低于 1%，表明大规模主动利用的可能性较低，但漏洞的“不可修复”状态和“未定义”的利用成熟度给开发团队带来了持续的维护压力。对于处理敏感身份验证流程的企业级 Spring Boot 应用而言，这意味着需要评估是否接受风险、寻找替代库，或等待上游供应商发布安全补丁。此事件凸显了现代软件供应链中，一个深层传递依赖的漏洞如何能够潜伏并影响广泛部署的框架组件。