北京赛克艾威科技有限公司 2026-03-20
Spring Boot是由Spring官方提供的开源Java应用开发框架,用于快速构建独立、生产级的Spring应用。其内置Actuator组件用于监控和管理应用运行状态,支持健康检查、指标采集及运维接口管理,广泛应用于微服务架构和云原生环境。2026年3月20日,启明星辰安全应急响应中心(VSRC)监测到Spring Boot 认证绕过漏洞。当应用将需要身份认证的业务端点错误地映射到CloudFoundry Actuator路径下时,由于Actuator与Spring Security的路径处理机制存在冲突,可能导致访问控制失效。攻击者无需身份认证即可访问原本受保护的接口,从而获取敏感信息或执行未授权操作。该漏洞通常出现在同时引入Actuator与Spring Security依赖且存在不规范路径配置的Web应用中。成功利用该漏洞可能导致数据泄露、权限提升甚至业务逻辑滥用,进而违反数据安全及隐私保护相关合规要求,对企业系统安全造成较大风险。
暂无
https://spring.io/security/cve-2026-22733/
https://nvd.nist.gov/vuln/detail/CVE-2026-22733
https://www.venustech.com.cn/new_type/aqtg/20260320/29235.html