CVE-2026-22731 是一个存在于 Spring Boot Actuator 模块中的高危认证绕过漏洞。
当应用程序将需要认证的业务接口,错误地映射到 Actuator 健康组(Health Group)配置的特定路径下时,攻击者可能绕过鉴权直接访问这些接口。
漏洞核心信息
触发条件:利用难度低,不需要用户交互,且可被自动化利用(CISA 评估)。
CVSS 3.1 评分:8.2 (高危)
攻击路径:网络
权限需求:无
影响:高机密性泄露、低完整性影响。
受影响的版本
Spring Boot 4.0.x:版本 < 4.0.3
Spring Boot 3.5.x:版本 < 3.5.11
Spring Boot 3.4.x:版本 < 3.4.15
修复建议
升级版本:将 Spring Boot 升级至 3.4.15、3.5.11、4.0.3 或更高版本。
临时措施:若无升级计划,请严格避免将业务接口(Endpoint)部署在 Actuator 健康检查的路径下。
麻烦确认是否涉及 CVE-2026-22731 漏洞,并同步反馈受影响情况及整改计划