## Spring Boot Thymeleaf Starter 2.6.6 曝高危漏洞，最高 CVSS 9.0 分，影响 WebGoat 等项目
Spring Boot 生态中广泛使用的 `spring-boot-starter-thymeleaf-2.6.6` 依赖包被曝存在三个安全漏洞，其中最高严重性评分为 CVSS 9.0 分。该漏洞直接影响依赖此版本的 Java 应用，包括知名的安全教学项目 WebGoat。扫描结果显示，漏洞根源于其传递依赖的 `thymeleaf-3.0.15.RELEASE.jar` 库，路径清晰指向了项目构建文件 `/pom.xml` 中的特定提交记录。

漏洞详情显示，编号为 CVE-2026-40478 的漏洞被标记为最高严重级别。此类漏洞通常涉及模板引擎的代码注入或远程代码执行风险，对于使用 Thymeleaf 进行视图渲染的 Spring Boot 应用构成直接威胁。安全扫描在 WebGoat 项目的特定提交中被触发，表明该教学示例项目已受到污染，可能成为攻击者研究或利用的现成目标。

此次漏洞曝光对依赖 Spring Boot 2.6.x 系列版本的企业和开发者构成了紧急安全压力。由于 `spring-boot-starter-thymeleaf` 是构建 Web 应用的常见入门依赖，其潜在影响范围广泛。开发团队需立即审查项目依赖，升级至已修复的版本，并检查是否有恶意代码通过受污染的依赖链被引入。这起事件再次凸显了开源软件供应链安全的脆弱性，即使是用于安全教育的项目也可能成为漏洞载体。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: 供应链安全, Java漏洞, Spring Boot, CVE, Web安全
- **Credibility**: unverified
- **Published**: 2026-04-19 00:22:27
- **ID**: 70867
- **URL**: https://whisperx.ai/en/intel/70867