一、漏洞概述
漏洞名称 | Spring Boot 认证绕过漏洞 |
CVE ID | CVE-2026-22733 |
漏洞类型 | 认证绕过 | 发现时间 | 2026-3-20 |
漏洞评分 | 8.2 | 漏洞等级 | 高危 |
攻击向量 | 网络 | 所需权限 | 无 |
利用难度 | 低 | 用户交互 | 不需要 |
PoC/EXP | 未公开 | 在野利用 | 未发现 |
Spring Boot是由Spring官方提供的开源Java应用开发框架,用于快速构建独立、生产级的Spring应用。其内置Actuator组件用于监控和管理应用运行状态,支持健康检查、指标采集及运维接口管理,广泛应用于微服务架构和云原生环境。
2026年3月20日,启明星辰安全应急响应中心(VSRC)监测到Spring Boot 认证绕过漏洞。当应用将需要身份认证的业务端点错误地映射到CloudFoundry Actuator路径下时,由于Actuator与Spring Security的路径处理机制存在冲突,可能导致访问控制失效。攻击者无需身份认证即可访问原本受保护的接口,从而获取敏感信息或执行未授权操作。该漏洞通常出现在同时引入Actuator与Spring Security依赖且存在不规范路径配置的Web应用中。成功利用该漏洞可能导致数据泄露、权限提升甚至业务逻辑滥用,进而违反数据安全及隐私保护相关合规要求,对企业系统安全造成较大风险。
二、影响范围
2.7.0 <= Spring Boot < 2.7.323.3.0 <= Spring Boot < 3.3.183.4.0 <= Spring Boot < 3.4.153.5.0 <= Spring Boot < 3.5.124.0.0 <= Spring Boot < 4.0.4
三、安全措施
3.1 升级版本
下载链接:https://github.com/spring-projects/spring-boot/releases/
3.2 临时措施
暂无。
3.3 通用建议
• 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。• 加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。• 加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
3.4 参考链接
https://spring.io/security/cve-2026-22733/https://nvd.nist.gov/vuln/detail/CVE-2026-22733
京公网安备11010802024551号