Spring Boot Starter Thymeleaf 2.7.1 曝高危漏洞，最高 CVSS 9.0 影响 WebGoat 项目

一个广泛使用的 Java 开发框架组件被曝存在严重安全漏洞。在 WebGoat 项目的代码库中，安全扫描工具检测到 `spring-boot-starter-thymeleaf-2.7.1.jar` 依赖项引入了三个安全漏洞，其中最高严重性评分为 CVSS 9.0。该漏洞位于其底层依赖库 `thymeleaf-3.0.15.RELEASE.jar` 中，路径指向项目根目录的 `pom.xml` 文件。这表明任何使用此特定版本 Spring Boot Thymeleaf 启动器的 Java 应用程序都可能面临潜在的攻击面。

漏洞详情显示，问题根源在于 `org.thymeleaf:thymeleaf` 库的 3.0.15.RELEASE 版本。该漏洞被标记为 CVE-2026-40478，属于高危级别。虽然具体攻击向量和影响范围尚未在公开摘要中详细说明，但 CVSS 9.0 的评分通常意味着漏洞可能允许远程代码执行、严重的数据泄露或系统完全被接管。发现该问题的提交指向 WebGoat 项目的一个特定代码版本，这突显了开源软件供应链中依赖管理的普遍风险。

对于使用 Spring Boot 和 Thymeleaf 模板引擎的开发者与企业而言，此发现构成了直接的安全警告。虽然修复方案可能涉及升级 `spring-boot-starter-thymeleaf` 到更高版本，但当前扫描报告并未明确列出已修复的版本号。这迫使开发团队需要立即审查其项目依赖树，确认是否引入了有问题的 Thymeleaf 库版本，并评估其应用程序的暴露风险。此类漏洞若被利用，可能危及依赖该组件的无数 Web 应用和服务。