AssertJ Core 3.22.0 曝高危漏洞 CVE-2026-24400，影响 Java 测试框架供应链

一个被标记为高严重性（High Severity）的漏洞 CVE-2026-24400 已在流行的 Java 测试库 AssertJ Core 的 3.22.0 版本中被检测到。该漏洞直接存在于核心 JAR 文件 `assertj-core-3.22.0.jar` 中，该库被广泛用于为 Java 应用程序提供丰富且流畅的断言功能，是开发测试环节的关键依赖。自动化安全扫描已在项目依赖路径中多次定位到该易受攻击的库文件，表明其可能已通过 Maven 中央仓库等渠道被集成到多个下游项目中。

此次漏洞的直接影响范围尚不完全明确，但鉴于 AssertJ 在 Java 开发社区中的广泛采用，其潜在风险不容小觑。扫描报告显示，漏洞库文件存在于 `hapi-fhir-storage-test-utilities` 项目的 `pom.xml` 依赖管理文件中，并通过本地 Maven 仓库路径 `/home/wss-scanner/.m2/repository/` 被反复引用。这种模式表明，依赖此版本 AssertJ 的软件供应链可能面临安全威胁，攻击者或可利用此漏洞破坏测试过程的完整性，甚至可能进一步渗透至生产环境。

目前，漏洞的具体技术细节和可利用性尚未公开，但高严重性评级通常意味着存在远程代码执行、权限提升或严重信息泄露的风险。使用 AssertJ Core 3.22.0 版本的开发团队和安全运维人员面临紧迫的修复压力。他们需要立即审查项目依赖树，识别所有受影响的组件，并计划升级到已发布补丁的安全版本。在医疗健康信息交换领域广泛使用的 HAPI FHIR 项目工具链中发现了此漏洞，这进一步凸显了关键基础设施软件对第三方开源依赖进行持续安全监控的必要性。