Spring Boot 4.0.6 正式发布了这次不是功能型大版本包含65 项 bug 修复、文档改进和依赖升级。最重要的一点是一次性紧急修复了8 个 CVE其中1 个 Critical、2 个 High、5 个 Medium尤其是 Actuator 端点未授权访问那个非常严重的风险已经上 Spring Boot 4.0.x 的项目建议别拖。严重漏洞1、Actuator 端点未授权访问CVE-2026-40976级别Critical。受影响 Spring Boot 版本影响版本修复版本可用性4.0.x4.0.6OSS在某些情况下Spring Boot 的默认 Web 安全机制无效导致所有 Actuator 端点均可能被未授权访问。高风险漏洞1、获取远程密钥CVE-2026-40972级别High。受影响 Spring Boot 版本影响版本修复版本可用性4.0.x4.0.6OSS3.5.x3.5.14OSS3.4.x3.4.16仅企业支持3.3.x3.3.19仅企业支持2.7.x2.7.33仅企业支持在同一网络中的攻击者可能利用时序攻击获取远程密钥的相关信息。在极端情况下攻击者可能据此确定密钥并上传修改后的类文件从而在远程应用中实现远程代码执行。2、劫持已认证用户CVE-2026-40973级别High。受影响 Spring Boot 版本影响版本修复版本可用性4.0.x4.0.6OSS3.5.x3.5.14OSS3.4.x3.4.16仅企业支持3.3.x3.3.19仅企业支持2.7.x2.7.33仅企业支持在同一主机上的本地攻击者可能能够控制ApplicationTemp所使用的目录。当server.servlet.session.persistent设置为true且攻击在应用重启后仍持续存在时攻击者可能读取会话信息劫持已认证用户或部署 gadget 链并以应用用户的权限执行代码。中风险漏洞1、Elasticsearch SSL 未验证主机名CVE-2026-40970级别Medium。受影响 Spring Boot 版本影响版本修复版本可用性4.0.x4.0.6OSSElasticsearch 当配置为使用 SSL 套件时Spring Boot 的 Elasticsearch 自动配置在连接 Elasticsearch 服务器时不会执行 TLS 主机名验证存在被中间人攻击的风险。2、RabbitMQ SSL 未验证主机名CVE-2026-40971级别Medium。受影响 Spring Boot 版本影响版本修复版本可用性4.0.x4.0.6OSS3.5.x3.5.14OSSRabbitMQ 当配置为使用 SSL bundle 套件时Spring Boot 的 RabbitMQ 自动配置在连接 RabbitMQ 代理时不会执行 TLS 主机名验证存在被中间人攻击的风险。3、Cassandra SSL 未验证主机名CVE-2026-40974级别Medium。受影响 Spring Boot 版本影响版本修复版本可用性4.0.x4.0.6OSS3.5.x3.5.14OSS3.4.x3.4.16仅企业支持3.3.x3.3.19仅企业支持2.7.x2.7.33仅企业支持Cassandra 当配置为使用 SSL bundle 套件时Spring Boot 的 Cassandra 自动配置在连接 Cassandra 代理时不会执行 TLS 主机名验证存在被中间人攻击的风险。4、随机值密钥可预测CVE-2026-40975级别Medium。受影响 Spring Boot 版本影响版本修复版本可用性4.0.x4.0.6OSS3.5.x3.5.14OSS3.4.x3.4.16仅企业支持3.3.x3.3.19仅企业支持2.7.x2.7.33仅企业支持使用${random.value}生成的值不适用于作为密钥使用困为${random.int}和${random.long}为数值类型取值范围可预测绝不能用于密钥。使用${random.uuid}不受影响。5、破坏主机上的文件CVE-2026-40977级别Medium。受影响 Spring Boot 版本影响版本修复版本可用性4.0.x4.0.6OSS3.5.x3.5.14OSS3.4.x3.4.16仅企业支持3.3.x3.3.19仅企业支持2.7.x2.7.33仅企业支持当应用程序配置为使用ApplicationPidFileWriter时本地攻击者若拥有对 PID 文件所在位置的写入权限每次启动应用程序时均可破坏主机上的一个文件。总结Spring Boot 版本日新月异我们在享受技术红利的同时也要注意安全漏洞带来的潜在威胁。这次官方给的处理方式很明确升级到对应修复版本即可。如果你已经在 4.0.x不要犹豫直接安排 4.0.6如果还在 3.5.x也尽快跟到 3.5.14。Spring Boot 小版本更新看起来不起眼但安全修复就是这样平时没感觉真出事很可能就 P0 级故障了损失可严重了。。所以赶紧看看自己的 Spring Boot 版本吧。最后相信过不了太久Spring Boot 4.1.0 正式版就要发布了R哥到时会同步更新大家可以关注一下。
Spring Boot 4.0.6 发布,紧急修复了 8 个安全漏洞,赶紧看看自己的 Spring Boot 版本!!
发布时间:2026/6/30 2:32:01
Spring Boot 4.0.6 正式发布了这次不是功能型大版本包含65 项 bug 修复、文档改进和依赖升级。最重要的一点是一次性紧急修复了8 个 CVE其中1 个 Critical、2 个 High、5 个 Medium尤其是 Actuator 端点未授权访问那个非常严重的风险已经上 Spring Boot 4.0.x 的项目建议别拖。严重漏洞1、Actuator 端点未授权访问CVE-2026-40976级别Critical。受影响 Spring Boot 版本影响版本修复版本可用性4.0.x4.0.6OSS在某些情况下Spring Boot 的默认 Web 安全机制无效导致所有 Actuator 端点均可能被未授权访问。高风险漏洞1、获取远程密钥CVE-2026-40972级别High。受影响 Spring Boot 版本影响版本修复版本可用性4.0.x4.0.6OSS3.5.x3.5.14OSS3.4.x3.4.16仅企业支持3.3.x3.3.19仅企业支持2.7.x2.7.33仅企业支持在同一网络中的攻击者可能利用时序攻击获取远程密钥的相关信息。在极端情况下攻击者可能据此确定密钥并上传修改后的类文件从而在远程应用中实现远程代码执行。2、劫持已认证用户CVE-2026-40973级别High。受影响 Spring Boot 版本影响版本修复版本可用性4.0.x4.0.6OSS3.5.x3.5.14OSS3.4.x3.4.16仅企业支持3.3.x3.3.19仅企业支持2.7.x2.7.33仅企业支持在同一主机上的本地攻击者可能能够控制ApplicationTemp所使用的目录。当server.servlet.session.persistent设置为true且攻击在应用重启后仍持续存在时攻击者可能读取会话信息劫持已认证用户或部署 gadget 链并以应用用户的权限执行代码。中风险漏洞1、Elasticsearch SSL 未验证主机名CVE-2026-40970级别Medium。受影响 Spring Boot 版本影响版本修复版本可用性4.0.x4.0.6OSSElasticsearch 当配置为使用 SSL 套件时Spring Boot 的 Elasticsearch 自动配置在连接 Elasticsearch 服务器时不会执行 TLS 主机名验证存在被中间人攻击的风险。2、RabbitMQ SSL 未验证主机名CVE-2026-40971级别Medium。受影响 Spring Boot 版本影响版本修复版本可用性4.0.x4.0.6OSS3.5.x3.5.14OSSRabbitMQ 当配置为使用 SSL bundle 套件时Spring Boot 的 RabbitMQ 自动配置在连接 RabbitMQ 代理时不会执行 TLS 主机名验证存在被中间人攻击的风险。3、Cassandra SSL 未验证主机名CVE-2026-40974级别Medium。受影响 Spring Boot 版本影响版本修复版本可用性4.0.x4.0.6OSS3.5.x3.5.14OSS3.4.x3.4.16仅企业支持3.3.x3.3.19仅企业支持2.7.x2.7.33仅企业支持Cassandra 当配置为使用 SSL bundle 套件时Spring Boot 的 Cassandra 自动配置在连接 Cassandra 代理时不会执行 TLS 主机名验证存在被中间人攻击的风险。4、随机值密钥可预测CVE-2026-40975级别Medium。受影响 Spring Boot 版本影响版本修复版本可用性4.0.x4.0.6OSS3.5.x3.5.14OSS3.4.x3.4.16仅企业支持3.3.x3.3.19仅企业支持2.7.x2.7.33仅企业支持使用${random.value}生成的值不适用于作为密钥使用困为${random.int}和${random.long}为数值类型取值范围可预测绝不能用于密钥。使用${random.uuid}不受影响。5、破坏主机上的文件CVE-2026-40977级别Medium。受影响 Spring Boot 版本影响版本修复版本可用性4.0.x4.0.6OSS3.5.x3.5.14OSS3.4.x3.4.16仅企业支持3.3.x3.3.19仅企业支持2.7.x2.7.33仅企业支持当应用程序配置为使用ApplicationPidFileWriter时本地攻击者若拥有对 PID 文件所在位置的写入权限每次启动应用程序时均可破坏主机上的一个文件。总结Spring Boot 版本日新月异我们在享受技术红利的同时也要注意安全漏洞带来的潜在威胁。这次官方给的处理方式很明确升级到对应修复版本即可。如果你已经在 4.0.x不要犹豫直接安排 4.0.6如果还在 3.5.x也尽快跟到 3.5.14。Spring Boot 小版本更新看起来不起眼但安全修复就是这样平时没感觉真出事很可能就 P0 级故障了损失可严重了。。所以赶紧看看自己的 Spring Boot 版本吧。最后相信过不了太久Spring Boot 4.1.0 正式版就要发布了R哥到时会同步更新大家可以关注一下。
相关文章
【黑科技软件】windows电脑鼠标连点器:自动连点+录制回放+屏幕识图,一款软件全搞定(支持中文)
【黑科技软件】windows电脑鼠标连点器:自动连点录制回放屏幕识图,一款软件全搞定(支持中文) SEO关键词: 鼠标连点器、自动连点器、鼠标自动点击、连点器推荐、鼠标宏、录制回放、屏幕识图点击、自动化工具 很多人提到…
贵州水利水电职业技术学院EDA社团培训-五路带电源LED显示板
图1:五路带电源LED显示板电路原理图图2:五路带电源LED显示板PCB布线及布局图图3:五路带电源LED显示板PCB 2D仿真图图4:五路带电源LED显示板PCB 3D仿真图图5:26届嘉立创 EDA 校园讲师张纤制作的五路带电源LED显示板电路…
桌面 Agent 横向评测|ToDesk AI、QClaw、AutoClaw哪款真省心?
一、前言近期基于 OpenClaw 框架的桌面 AI 智能体成为热门生产力工具,可自主操控电脑完成各类自动化任务。其中 ToDesk AI、智谱 AutoClaw、腾讯 QClaw 三款产品受众最广,虽底层同源,但依托各自厂商优势,产品定位、功能侧重差异明…
手把手教你!国内免费部署 Qwythos-9B,4G 显存就能跑 Claude 5 级推理
先搞清楚这是啥 Qwythos-9B 是一个可以在你自己电脑上运行的 AI 模型。 它相当于把 Claude 5 的"脑子"提取出来,塞进了一个 9B 的小模型里。 跟 ChatGPT 的区别: • 不用联网,断网也能用 • 不用付费,电费就是全部成…
2026年下半年量化工具选择,先说清交易规则
对没有编程或交易经验的人来说,量化学习很容易从“我该用什么工具”开始。这个问题并非不重要,但如果它出现得太早,就会遮住更基础的任务:读者还需要先知道交易想法怎样被拆成规则,以及自己正处在哪个学习阶段。工具要…
马斯克600亿美元收购Cursor:AI应用高光不再,模型吞噬时代已至?
马斯克AI再重仓,SpaceX收购Cursor马斯克又在AI上重仓了。据悉,SpaceX已与AI编程工具Cursor的开发商Anysphere签署最终合并协议,将以全股票交易方式完成收购。此次交易对Cursor的隐含估值高达600亿美元(约合人民币4062亿元…
两个月完成三轮融资,估值超 200 亿!自变量机器人成具身智能「最强大脑」
今年四月底,自变量机器人才完成 B 轮融资,由小米战投领投,估值超 100 亿。此后两个月又完成 B、B、C 轮融资,投后估值超 200 亿,成大湾区首家跨过此线的具身智能公司。豪华投资方阵容自变量是国内唯一被美团、阿里巴巴…
2024实战指南:基于VMware Workstation Pro与桥接模式,快速构建三节点CentOS7互通集群
1. 环境准备与工具安装 搭建三节点CentOS7集群的第一步是准备好必要的软件和镜像。我推荐使用VMware Workstation Pro 17作为虚拟化平台,这个版本在性能和稳定性方面都有不错的表现。安装过程其实很简单,但有几个关键点需要注意:一定要用管理…
Codex切换ChatGPT Plus与第三方API后出现401的排查方法
1. 问题现象Codex在ChatGPT Plus账号和第三方API之间切换后,可能出现以下几类错误。情况一:第三方 Key 被发送到 OpenAI 官方接口错误中的请求地址为:https://api.openai.com/v1/responses这说明 Codex 当前连接的是 OpenAI 官方 API…
Google限制Meta使用Gemini模型 凸显AI授权竞争白热化
近日,据多家科技媒体报道,Google已对Meta施加限制,禁止其在部分产品或服务中直接使用Gemini AI模型。这一消息一经传出,便在人工智能领域掀起波澜,凸显出当前大厂间AI模型授权竞争的激烈程度。 新闻导语:根…
XGBoost超参数实战:从理论到调优策略
1. XGBoost超参数基础认知 第一次接触XGBoost时,我被它那密密麻麻的参数列表吓到了。这感觉就像面对一架波音747的驾驶舱——每个按钮都可能有神奇的效果,但按错了就可能坠机。经过多年实战,我发现其实掌握十几个核心参数就能解决90%的问题。…
ChatGPT函数调用从入门到高并发落地:3步完成生产级集成,附可直接运行的TypeScript+Python双模版
更多请点击: https://kaifayun.com 第一章:ChatGPT函数调用的核心原理与演进脉络 函数调用(Function Calling)是大语言模型从纯文本生成迈向结构化交互的关键跃迁。其本质并非模型原生具备“执行代码”的能力,而是通…
AI Coding 六个月真实ROI账本:产品经理的血泪教训,研发的冷静忠告
6个月前的2025年12月,Boris Cherny 公开宣布自己卸载了 IDE。一时间,Vibe Coding 成了全行业最热的话题。6个月后,当我们回过头来拉一份真实账本,发现事情远没有"一句话生成一个App"那么浪漫。本文从产品经理和研发两个…
华为OD机试2025C卷-字符统计及重排[100分]( Java _ Python3 _ C++ _ C语言 _ JsNode _ Go)实现100%通过率
📫 个人主页:深夜coding算法 📣 专栏系列:2026年华为最新OD机试题库详解 🔥 一次订阅,永久解锁 | 持续更新100篇 | 6语言全覆盖 文章目录❄️前言:☀️一:题目描述🌙 题目…
华为OD机试2025C卷-寻找相同子串[100分]( Java _ Python3 _ C++ _ C语言 _ JsNode _ Go)实现100%通过率
📫 个人主页:深夜coding算法 📣 专栏系列:2026年华为最新OD机试题库详解 🔥 一次订阅,永久解锁 | 持续更新100篇 | 6语言全覆盖 文章目录❄️前言:☀️一:题目描述🌙 题目…
Zotero Duplicates Merger:5步彻底清理文献库重复条目
Zotero Duplicates Merger:5步彻底清理文献库重复条目 【免费下载链接】ZoteroDuplicatesMerger A zotero plugin to automatically merge duplicate items 项目地址: https://gitcode.com/gh_mirrors/zo/ZoteroDuplicatesMerger 还在为文献库中堆积如山的重…
利用随机有限集理论对蜂群的ILQR和MPC控制研究附Matlab代码
✅作者简介:热爱科研的Matlab仿真开发者,擅长数据处理、建模仿真、程序设计、完整代码获取、论文复现及科研仿真。🍎 往期回顾关注个人主页:Matlab科研工作室🍊个人信条:格物致知,完整Matlab代码及仿真咨询…
为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因
更多请点击: https://intelliparadigm.com 第一章:为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因 Gemini邮件的客户转化效率(CTE)显著偏低,根本原因常被误判为…