Spring Boot Starter Cache 2.7.10 曝出 6 项漏洞，最高严重性达 7.5 分且路径可达

Spring Boot 生态系统的核心依赖项 `spring-boot-starter-cache-2.7.10.jar` 被安全扫描工具标记为存在 6 项安全漏洞，其中最高严重性评分为 7.5 分（CVSS v3）。更关键的是，漏洞分析显示其攻击路径为“可达”（Reachable），这意味着攻击者有可能利用应用程序的特定代码路径触发这些漏洞，而不仅仅是存在未使用的依赖。这一发现直接影响了使用该版本构建的 Gradle 项目。

漏洞详情显示，最严重的问题来自一个传递性依赖 `spring-core-5.3.26.jar`，其 CVE 编号为 CVE-2025-41249，被评定为高危级别。扫描报告明确指出，目前尚无官方修复版本可用（Fixed in: N/A），且没有现成的补救措施（Remediation Available: ❌）。其他漏洞的详细信息虽被截断，但整体构成了一个多漏洞威胁面。该依赖库的路径指向 Gradle 的通用缓存目录，表明这是一个广泛使用的标准组件。

此事件对依赖 Spring Boot 2.7.10 系列进行应用开发与部署的团队构成了直接的安全压力。由于缺乏官方补丁，开发人员面临缓解措施有限的困境，可能需要考虑升级主版本或寻找其他临时缓解方案。这再次凸显了在复杂软件供应链中，即使是通过官方 Starter 引入的“可信”依赖，也可能携带未被及时修复的深层安全债务，迫使运维和安全团队在稳定性与安全性之间做出权衡。