Spring Boot Starter Web 2.6.6 爆出 21 个漏洞，最高严重性达 9.8 分

Spring Boot 生态中的一个核心依赖组件被曝存在严重安全风险。开源安全扫描报告显示，`spring-boot-starter-web-2.6.6.jar` 库中发现了多达 21 个安全漏洞，其中最高严重性评分为 9.8 分（CVSS v3），属于危急级别。该漏洞直接影响依赖此版本的应用程序，为攻击者提供了潜在的远程代码执行或拒绝服务攻击的入口。

漏洞的根本来源是传递依赖 `spring-webmvc-5.3.18.jar`。报告明确指出，该问题在 GitHub 项目 WebGoat 的特定提交中被发现，路径指向了标准的 Maven 本地仓库。这表明，任何使用此版本 Spring Boot Starter Web 构建的 Java Web 应用，在未进行修复或升级的情况下，都可能暴露在已知的公开漏洞之下。漏洞列表包括 CVE-2016-1000027 等高危记录，凸显了依赖管理中的历史债务风险。

对于全球数以百万计使用 Spring Boot 框架的企业和开发者而言，这是一个紧迫的供应链安全警报。虽然报告提供了“可修复”的标记，但关键在于团队需要立即行动：审查项目依赖树，确认是否引入了这个有问题的库版本，并尽快升级到已修复的安全版本。在快速迭代的软件开发中，此类广泛使用的基础组件出现高危漏洞集群，再次敲响了软件物料清单（SBOM）管理和自动化安全扫描的警钟。