Spring Boot Starter 2.6.5 曝 25 个高危漏洞，最高 CVSS 9.8 可达性攻击风险

Spring Boot 生态核心组件 `spring-boot-starter-2.6.5.jar` 被安全扫描工具检出存在 25 个安全漏洞，其中最高严重性评分为 CVSS 9.8 的“严重”级别。更关键的是，这些漏洞被标记为“可达的”，意味着攻击者有可能通过网络请求等途径实际利用这些漏洞，而非仅存在于未使用的代码库中。该漏洞链的根源指向依赖项 `logback-core-1.2.11.jar`，路径显示其通过 `spring-cloud-function/3.2.2` 项目被引入。

此次曝光的漏洞清单中包含了臭名昭著的 Spring4Shell 漏洞（CVE-2022-22965），该漏洞曾引发大规模安全警报。扫描报告明确指出，这些漏洞存在于一个公开的 GitHub 仓库（TravisPooley/vulhub）的特定提交版本中，为潜在攻击者提供了明确的研究和利用目标。依赖管理文件 `pom.xml` 的路径被完整披露，凸显了现代软件开发中复杂依赖链带来的隐蔽安全风险。

对于使用相关版本 Spring Boot 和 Spring Cloud Function 的企业与开发者而言，这构成了直接的供应链安全威胁。高达 9.8 的 CVSS 评分通常意味着漏洞允许远程代码执行，结合“可达性”标签，系统面临被完全控制的风险。开发团队需立即审查项目依赖，确认是否引入了受影响的 `logback-core` 版本，并优先升级至已修复的安全版本。此事件再次警示，即使是通过官方或广泛使用的启动器引入的间接依赖，也可能成为整个应用安全链条中最薄弱的一环。