CVE-2026-40976Spring Boot在特定依赖配置下存在默认Web安全失效漏洞,允许攻击者未经授权访问所有端点。受影响版本为4.0.0至4.0.5。漏洞触发条件包括应用为Servlet类型、无自定义安全配置、依赖actuator-autoconfigure但不依赖spring-boot-health。攻击者可利用此漏洞无需认证获取敏感信息或篡改数据,风险极高,建议立即升级。
该漏洞源于Spring Boot自动配置机制在特定依赖组合下的逻辑错误。当应用程序基于Servlet、未自定义Spring Security配置且完全依赖默认过滤器链时,若其依赖了`spring-boot-actuator-autoconfigure`却未依赖`spring-boot-health`,系统将无法正确推断或应用必要的安全拦截策略。这种配置缺失导致本应受保护的默认安全链失效,使得所有Web端点暴露在公网之下。攻击者无需用户交互或任何身份凭证,即可通过网络向受影响应用发送任意HTTP请求。由于CVSS评分为9.1,攻击者可成功获取高机密性信息(如环境变量、配置数据)并实现高完整性影响(如修改关键配置),严重威胁应用安全。