Neo4j Java Driver 5.7.0 曝出高危漏洞，Netty 组件风险波及 Spring Boot 应用

Neo4j 官方 Java 数据库驱动组件 `neo4j-java-driver-5.7.0.jar` 被检出包含两个安全漏洞，其中最高严重性评级为 7.5 分的高危漏洞。该漏洞源于其底层依赖的 Netty 网络库组件 `netty-handler-4.1.91.Final.jar`，直接影响通过该驱动访问 Neo4j 图数据库的 Java 应用。扫描路径显示，该漏洞组件已深入 Spring Boot 生态，具体位于 `spring-boot-actuator-autoconfigure` 模块的 Gradle 构建依赖中。

漏洞详情指向两个具体的 CVE 编号。高危漏洞 CVE-2025-24970 的 CVSS 评分为 7.5，被标记为“高”严重性。另一个中危漏洞 CVE-2023-34462 的 CVSS 评分为 6.5。两个漏洞的利用成熟度均被标记为“未定义”，EPSS（漏洞利用预测评分系统）评分均为 1.0%。值得注意的是，报告明确指出，针对这两个漏洞的修复方案目前“不可用”，且其“可及性”影响范围未明，这增加了修复的紧迫性和不确定性。

此次漏洞的核心风险在于其传递性依赖的特性。漏洞并非直接存在于 Neo4j 驱动的主代码中，而是潜伏在其引用的 Netty 网络处理库内。这意味着任何使用该版本 Neo4j Java 驱动的项目，无论其业务逻辑如何，都可能无意中引入此安全风险。对于广泛采用 Spring Boot 框架和 Neo4j 进行数据服务的 Java 开发者而言，这是一个需要立即评估的供应链安全事件。项目维护者需密切关注官方修复版本发布，并评估临时缓解措施。