This page collects WhisperX intelligence signals tagged #Spring Boot. It is designed for humans, search engines, and AI agents: each item links to a canonical source-backed record with sector, source, timestamp, credibility, and exportable structured data.
Spring Boot 生态的核心依赖 `spring-boot-starter-web-2.7.1.jar` 被安全扫描工具检出存在 18 个安全漏洞,其中最高严重性评分为 9.8 分(CVSS v3),属于严重级别。这一发现直接指向了项目 `/pom.xml` 中引入的底层库 `spring-web-5.3.21.jar`,表明一个广泛使用的企业级开发框架组件存在显著的安全风险。 漏洞详情显示,受影响的库路径为 `/home/wss-scanner/.m2/repository/org/springframework/spring-web/5.3.21/spring-web-5.3.21.jar`。该问题已在 GitHub 仓...
Spring Boot 生态系统的核心依赖组件 `spring-boot-starter-web-3.1.0.jar` 被安全扫描工具检出存在 13 项安全漏洞,其中最高严重性评分为 8.1(高危)。关键点在于,这些漏洞被标记为“可被利用”(Reachable),这意味着攻击者有可能通过应用程序的特定路径触发这些漏洞,而不仅仅是存在于依赖树中。漏洞详情列表指向了底层依赖 `spring-webmvc-6.0.9.jar`,表明问题根源在于 Spring Framework 的 Web MVC 模块。 此次曝光的漏洞中,最严重的是 CVE-2024-22262,其 CVSS 评分为 8.1,被归类为高危漏洞。安全报告提供了详细的漏洞...
在 GitHub 仓库 `bturtu405/TestDev` 的依赖扫描中,一个广泛使用的 Java 框架组件被标记存在严重安全风险。Spring Boot Actuator 的 2.1.12.RELEASE 版本被检出包含三个漏洞,其中最高严重性评分为 9.8(CVSS v3),这属于最高级别的安全威胁。该漏洞库的路径为 `/home/wss-scanner/.m2/repository/org/springframework/boot/spring-boot-actuator-autoconfigure/2.1.12.RELEASE/spring-boot-actuator-autoconfigure-2.1.12.RELEA...
一份来自 GitHub 依赖项扫描的警报显示,广泛使用的 Java 框架组件 `spring-boot-starter-web-2.7.1.jar` 存在多达 21 个安全漏洞,其中最高严重性评分为 9.8 的 CVSS 分数,属于“严重”级别。该漏洞包是构建 Spring MVC Web 和 RESTful 应用程序的核心启动器,默认使用 Tomcat 作为嵌入式容器,其潜在风险直接影响依赖该版本的大量企业级应用。 扫描报告详细列出了这些漏洞,其中标记为 `CVE-2016-1000027` 的漏洞最为突出,其 CVSS 3.x 评分为 9.8 分,且 EPSS(漏洞利用预测评分系统)分数高达 60.4%,表明其被利用的可能性较...
Spring Boot 生态系统的核心安全组件被发现存在严重安全缺陷。一份来自 GitHub Issues 的漏洞扫描报告显示,`spring-boot-starter-security-3.4.0.jar` 库中识别出多达 14 个安全漏洞,其中最高严重性评分为 9.1(CVSS v3)。更关键的是,报告明确指出这些漏洞是“可被利用的”,这意味着攻击者有可能通过应用程序的特定路径触发这些漏洞,而非仅存在于未使用的依赖中。该漏洞链的根源指向一个传递依赖:`ch.qos.logback/logback-classic/1.5.12`。 具体漏洞细节显示,问题存在于依赖文件 `/src/test/externalApp/externa...
A high-severity vulnerability, CVE-2026-29146, has been identified in the widely used `tomcat-embed-core-9.0.19.jar` library, a core component of the Apache Tomcat server. The flaw was detected within the dependency chain of a Kotlin Spring project, specifically in the `cactus-plugin-ledger-connector-corda` module, rai...
Spring Boot 生态系统的核心 Web 启动器组件 `spring-boot-starter-web-4.0.4.jar` 被曝存在严重安全风险。安全扫描显示,该版本依赖的 Apache Tomcat 嵌入式核心库 `tomcat-embed-core-11.0.18.jar` 内嵌了 4 个安全漏洞,其中最高严重性评分为 9.1(CVSS 3.x),属于高危级别。这一发现直接指向了广泛使用的 Java 应用开发框架的供应链安全薄弱环节。 漏洞的具体路径已明确。问题库位于构建文件 `/build.gradle.kts` 的依赖链中,其物理路径为 Gradle 缓存目录下的特定 JAR 文件。该漏洞组件在 GitHub 项目...
Apache Log4j 2 日志框架再次拉响安全警报。在广泛使用的 `log4j-slf4j2-impl-2.20.0.jar` 库中,发现了三个安全漏洞,其中最高严重性评分为 5.8 分(中危)。这些漏洞直接存在于核心依赖 `log4j-core-2.20.0.jar` 中,影响所有使用该版本绑定的 Spring Boot 等 Java 应用。尽管漏洞的利用成熟度尚未明确,但其存在本身已构成潜在风险,尤其对于未及时更新依赖的庞大遗留系统。 具体漏洞包括 CVE-2026-34480(CVSS 5.8)和 CVE-2025-68161(CVSS 4.0)。扫描报告显示,这些漏洞目前尚无官方修复版本可用,标记为“修复不可用”。这意...
Spring Boot 项目的自动配置模块依赖链中,一个关键的安全库被曝存在多个未修复的中危漏洞,可能影响依赖该库的身份验证与安全断言功能。漏洞报告显示,在 `spring-boot-autoconfigure` 模块的构建文件中,检测到了 `opensaml-core-4.0.1.jar` 库,该库的传递依赖项 `guava` 存在两个已公开的 CVE 漏洞,最高 CVSS 评分为 5.5。这些漏洞目前没有可用的修复版本,且其可利用性成熟度尚未明确界定,构成了潜在的供应链安全风险。 具体而言,漏洞 CVE-2023-2976 影响了两个不同版本的 `guava` JAR 包(30.1-jre 和 28.2-jre),它们作为 O...
Neo4j 官方 Java 数据库驱动组件 `neo4j-java-driver-5.7.0.jar` 被检出包含两个安全漏洞,其中最高严重性评级为 7.5 分的高危漏洞。该漏洞源于其底层依赖的 Netty 网络库组件 `netty-handler-4.1.91.Final.jar`,直接影响通过该驱动访问 Neo4j 图数据库的 Java 应用。扫描路径显示,该漏洞组件已深入 Spring Boot 生态,具体位于 `spring-boot-actuator-autoconfigure` 模块的 Gradle 构建依赖中。 漏洞详情指向两个具体的 CVE 编号。高危漏洞 CVE-2025-24970 的 CVSS 评分为 7.5...
一个广泛使用的 Java 开发框架核心组件被曝存在严重安全风险。在 `spring-boot-starter-web-2.3.0.RELEASE.jar` 库中,安全扫描发现了总计 72 个安全漏洞,其中最高严重性评分为 9.8 分(CVSS v3)。该库是 Spring Boot 用于构建 Web 和 RESTful 应用的官方启动器,默认使用 Tomcat 作为嵌入式容器,是无数企业级 Java 应用的基础依赖。 此次漏洞发现源于对 GitHub 项目 `APISecurity-crAPI` 中特定提交的依赖扫描。扫描报告明确指出,漏洞库的路径位于 `/ory/org/springframework/boot/spring-b...
Springfox Boot Starter 3.0.0 库被安全扫描工具检出存在 6 项安全漏洞,其中最高严重性评分为 7.5 分(高危),且至少有一条漏洞路径被标记为“可达”。该库是用于为 Spring 应用生成 JSON API 文档的常用工具。此次发现的漏洞直接存在于项目依赖文件 `/workflow-bot-app/build.gradle` 中,其具体路径指向 Gradle 缓存中的 `springfox-boot-starter-3.0.0.jar` 文件。 详细报告显示,编号为 CVE-2021-47621 的漏洞被评定为高危,CVSS 评分为 7.5 分。该漏洞存在于传递性依赖 `classgraph-4.8.8...
Spring Boot 生态系统的核心依赖项 `spring-boot-starter-cache-2.7.10.jar` 被安全扫描工具标记为存在 6 项安全漏洞,其中最高严重性评分为 7.5 分(CVSS v3)。更关键的是,漏洞分析显示其攻击路径为“可达”(Reachable),这意味着攻击者有可能利用应用程序的特定代码路径触发这些漏洞,而不仅仅是存在未使用的依赖。这一发现直接影响了使用该版本构建的 Gradle 项目。 漏洞详情显示,最严重的问题来自一个传递性依赖 `spring-core-5.3.26.jar`,其 CVE 编号为 CVE-2025-41249,被评定为高危级别。扫描报告明确指出,目前尚无官方修复版本可用...
Spring Boot 生态中广泛使用的 `spring-boot-starter-thymeleaf-2.6.6` 依赖包被曝存在三个安全漏洞,其中最高严重性评分为 CVSS 9.0 分。该漏洞直接影响依赖此版本的 Java 应用,包括知名的安全教学项目 WebGoat。扫描结果显示,漏洞根源于其传递依赖的 `thymeleaf-3.0.15.RELEASE.jar` 库,路径清晰指向了项目构建文件 `/pom.xml` 中的特定提交记录。 漏洞详情显示,编号为 CVE-2026-40478 的漏洞被标记为最高严重级别。此类漏洞通常涉及模板引擎的代码注入或远程代码执行风险,对于使用 Thymeleaf 进行视图渲染的 Sprin...
一个广泛使用的 Java 开发框架组件被曝存在严重安全漏洞。在 WebGoat 项目的代码库中,安全扫描工具检测到 `spring-boot-starter-thymeleaf-2.7.1.jar` 依赖项引入了三个安全漏洞,其中最高严重性评分为 CVSS 9.0。该漏洞位于其底层依赖库 `thymeleaf-3.0.15.RELEASE.jar` 中,路径指向项目根目录的 `pom.xml` 文件。这表明任何使用此特定版本 Spring Boot Thymeleaf 启动器的 Java 应用程序都可能面临潜在的攻击面。 漏洞详情显示,问题根源在于 `org.thymeleaf:thymeleaf` 库的 3.0.15.RELEA...
Команда Java-разработчиков провела полную миграцию данных из Oracle в PostgreSQL, не останавливая работу сервисов. Ключевым и самым сложным требованием был именно нулевой простой системы и отсутствие заметного влияния на конечных пользователей. Причиной переезда, как и во многих российских проектах последних лет, стало...
A high-severity vulnerability, CVE-2026-24880, has been detected in the core Apache Tomcat library embedded within multiple HAPI FHIR Spring Boot sample projects. This critical security flaw resides in the `tomcat-embed-core-10.1.52.jar` file, a foundational component for running Java web applications. The vulnerabilit...
A WhiteSource security scan has flagged the spring-boot-starter-thymeleaf library at version 2.7.1 as containing five distinct vulnerabilities, with the highest carrying a CVSS score of 9.0—placing it firmly in critical territory. The scan, triggered on a Maven project dependency file, identified the vulnerable artifac...
A high-severity security vulnerability, identified as CVE-2026-22733, has been detected in spring-boot-starter-actuator version 3.1.12, a widely deployed component of the Spring Boot framework used for production-ready application monitoring and management. The flaw was uncovered during a security scan of the MidnightB...
A high-severity vulnerability, cataloged as CVE-2026-40973, has been identified within the Spring Boot 3.5.3 library component embedded in the MidnightBSD/security-advisory repository. The flaw was detected through automated dependency scanning and surfaced during analysis of the project's HEAD commit on the master bra...