This page collects WhisperX intelligence signals tagged #Java安全. It is designed for humans, search engines, and AI agents: each item links to a canonical source-backed record with sector, source, timestamp, credibility, and exportable structured data.
Spring Boot 生态系统中一个广泛使用的核心依赖组件被曝存在严重安全风险。自动化安全扫描在 `spring-boot-starter-web-2.3.4.RELEASE.jar` 中识别出总计 67 个安全漏洞,其中最高严重性评分为 9.8 分(CVSS v3),属于危急级别。该组件是构建 Web 和 RESTful 应用程序的默认启动器,并默认使用 Tomcat 作为嵌入式容器,这意味着任何依赖此版本的项目都可能将自身暴露在多重高危攻击面之下。 漏洞发现于一个用于安全演示的 GitHub 仓库(DimaMend/secDevLabs)的特定提交中,路径指向其 Maven 构建配置文件(pom.xml)。虽然此实例出现在一...
一个关键的软件供应链警报:在广泛使用的 Apache Log4j 2.6.1 版本中发现了三个严重漏洞,其中 CVE-2021-44228 的 CVSS 风险评分达到最高的 10.0 分。该漏洞的利用成熟度被评估为“高”,且 EPSS(漏洞利用预测评分系统)评分高达 94.4%,表明其在野外被利用的可能性极高。这些漏洞存在于 `log4j-core-2.6.1.jar` 文件中,属于直接依赖,影响范围可能波及全球无数依赖此日志框架的 Java 应用程序和企业系统。 此次发现的漏洞并非孤立事件。除了臭名昭著的 Log4Shell (CVE-2021-44228) 外,该版本还包含另外两个高危漏洞:CVE-2017-5645(CVSS...
Spring Boot 生态系统的核心 Web 启动器组件 `spring-boot-starter-web-4.0.4.jar` 被曝存在严重安全风险。安全扫描显示,该版本依赖的 Apache Tomcat 嵌入式核心库 `tomcat-embed-core-11.0.18.jar` 内嵌了 4 个安全漏洞,其中最高严重性评分为 9.1(CVSS 3.x),属于高危级别。这一发现直接指向了广泛使用的 Java 应用开发框架的供应链安全薄弱环节。 漏洞的具体路径已明确。问题库位于构建文件 `/build.gradle.kts` 的依赖链中,其物理路径为 Gradle 缓存目录下的特定 JAR 文件。该漏洞组件在 GitHub 项目...
Apache Tomcat 核心组件被曝存在一个高危漏洞,编号为 GHSA-gqp3-2cvr-x8m3(CVE-2025-48989)。该漏洞被归类为“资源关闭或释放不当”,CVSS v3.1 评分为 7.5 分(高危),攻击者无需任何权限即可通过网络远程触发,可能导致服务中断。这一缺陷使 Tomcat 容易受到一种特定的“强制重置”攻击。 该漏洞影响范围极广,波及 Tomcat 的三个主要长期支持分支:从 11.0.0-M1 到 11.0.9 的所有版本,从 10.1.0-M1 到 10.1.43 的所有版本,以及从 9.0.0.M1 到 9.0.107 的所有版本。这意味着目前绝大多数在用的 Tomcat 服务器都可能面临风...