Springfox Boot Starter 3.0.0 曝出 6 项漏洞，最高严重性达 7.5 分 [可达]

Springfox Boot Starter 3.0.0 库被安全扫描工具检出存在 6 项安全漏洞，其中最高严重性评分为 7.5 分（高危），且至少有一条漏洞路径被标记为“可达”。该库是用于为 Spring 应用生成 JSON API 文档的常用工具。此次发现的漏洞直接存在于项目依赖文件 `/workflow-bot-app/build.gradle` 中，其具体路径指向 Gradle 缓存中的 `springfox-boot-starter-3.0.0.jar` 文件。

详细报告显示，编号为 CVE-2021-47621 的漏洞被评定为高危，CVSS 评分为 7.5 分。该漏洞存在于传递性依赖 `classgraph-4.8.83.jar` 中，目前尚无官方修复版本可用，修复状态为“不可用”。尽管其利用成熟度“未定义”且 EPSS 评分低于 1%，但“可达性”状态意味着攻击面可能真实存在。其他已列出的漏洞（如 CVE-2025-41242）详情虽未完全展示，但共同构成了一个已知的安全风险集合。

对于依赖此库生成 API 文档的 Spring Boot 应用项目而言，这一发现构成了直接的安全威胁。开发团队面临的压力在于，核心依赖项存在未修复的高危漏洞，可能被利用导致信息泄露或权限提升。项目负责人需要立即评估这些“可达”漏洞的实际影响，并权衡升级依赖、寻找替代方案或实施额外安全防护措施的紧迫性，以避免潜在的安全事件。