Spring Boot Starter Web 2.3.0 爆出 72 个漏洞，最高严重性达 9.8 分

一个广泛使用的 Java 开发框架核心组件被曝存在严重安全风险。在 `spring-boot-starter-web-2.3.0.RELEASE.jar` 库中，安全扫描发现了总计 72 个安全漏洞，其中最高严重性评分为 9.8 分（CVSS v3）。该库是 Spring Boot 用于构建 Web 和 RESTful 应用的官方启动器，默认使用 Tomcat 作为嵌入式容器，是无数企业级 Java 应用的基础依赖。

此次漏洞发现源于对 GitHub 项目 `APISecurity-crAPI` 中特定提交的依赖扫描。扫描报告明确指出，漏洞库的路径位于 `/ory/org/springframework/boot/spring-boot-starter-web/2.3.0.RELEASE/` 下，并通过项目的 `pom.xml` 文件引入。这意味着任何直接或间接依赖此特定版本 `2.3.0.RELEASE` 的应用程序，都可能暴露在由这 72 个漏洞构成的攻击面之下。

鉴于 Spring Boot 在 Java 生态中的核心地位，此事件对所有使用该版本构建服务的开发团队和安全团队构成了直接压力。受影响组织需要立即审查其依赖树，确认是否使用了这个存在大量已知漏洞的旧版本，并制定升级到已修复漏洞的新版本的计划。这种大规模、高严重性的漏洞集合，显著增加了相关应用遭受远程代码执行、数据泄露或服务中断等攻击的风险。