## Spring Boot Starter Web 2.7.1 曝出 21 项漏洞，最高严重性达 9.8 分 [可被利用]
一份来自 GitHub 依赖项扫描的警报显示，广泛使用的 Java 框架组件 `spring-boot-starter-web-2.7.1.jar` 存在多达 21 个安全漏洞，其中最高严重性评分为 9.8 的 CVSS 分数，属于“严重”级别。该漏洞包是构建 Spring MVC Web 和 RESTful 应用程序的核心启动器，默认使用 Tomcat 作为嵌入式容器，其潜在风险直接影响依赖该版本的大量企业级应用。

扫描报告详细列出了这些漏洞，其中标记为 `CVE-2016-1000027` 的漏洞最为突出，其 CVSS 3.x 评分为 9.8 分，且 EPSS（漏洞利用预测评分系统）分数高达 60.4%，表明其被利用的可能性较高。值得注意的是，该漏洞存在于传递性依赖 `spring-web-5.3.21.jar` 中，且报告明确指出“无可用修复方案”。这意味着依赖此版本库的开发者无法通过简单升级来修补此特定漏洞，构成了长期的安全债务。

此次曝出的漏洞集合对使用 Spring Boot 2.7.1 系列进行开发的团队构成了直接压力。虽然部分漏洞的“可触达性”被标记为“不可触达”，但关键的高危漏洞的存在，迫使开发和安全团队必须重新评估其软件供应链安全。在持续集成/持续部署（CI/CD）流程中，此类自动化警报正成为暴露技术债和潜在攻击面的重要信号。企业若未及时将依赖升级至已修复的后续版本，其应用将面临被利用的风险，尤其是在面向互联网的服务中。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: Java, Spring Boot, 安全漏洞, CVE, 供应链安全
- **Credibility**: unverified
- **Published**: 2026-04-08 03:27:10
- **ID**: 54242
- **URL**: https://whisperx.ai/en/intel/54242