Spring Web MVC 6.2.12 中检出低危漏洞 CVE-2026-22741，影响多个 HAPI FHIR 项目模块

Spring Framework 的一个核心组件被标记存在安全缺陷。CVE-2026-22741，一个低严重性漏洞，已在 `spring-webmvc-6.2.12.jar` 库中被检出。该漏洞并非孤立事件，其影响已渗透至一个关键的医疗数据互操作性项目——HAPI FHIR 的多个核心模块和测试套件中。

漏洞库 `spring-webmvc-6.2.12.jar` 是 Spring Web MVC 框架的一部分，广泛用于构建 Java Web 应用程序。扫描结果显示，该漏洞文件路径遍布 HAPI FHIR 项目的至少十个不同的依赖文件（pom.xml），包括其 JPA 服务器基础模块 (`hapi-fhir-jpaserver-base`)、Spring Boot 自动配置模块 (`hapi-fhir-spring-boot-autoconfigure`)、多个样本项目以及关键的测试工具库。这表明该漏洞已被深度集成到项目的构建和测试基础设施中。

虽然被评定为“低严重性”，但漏洞在医疗数据交换框架中的广泛存在构成了潜在的攻击面。HAPI FHIR 是一个广泛用于实现 HL7 FHIR 标准的开源服务器，被全球医疗IT系统用于交换临床和行政数据。任何安全弱点，即使评级较低，在涉及敏感患者数据的系统中都会引发额外的审查。项目维护者现在面临压力，需要评估该漏洞在其特定上下文中的实际风险，并协调依赖库的更新，这可能涉及复杂的依赖链管理。