spring
CVE-2026-40974:Cassandra SSL 自动配置会禁用 TLS 主机名验证
中危 | 2026年4月23日 | CVE-2026-40974
描述
Spring Boot 的 Cassandra 自动配置在建立到 Cassandra 的 SSL 连接时,不会执行主机名验证。主机名验证是 TLS 连接中的重要校验步骤,用于确认客户端连接的服务端证书是否与目标主机一致。
如果该校验缺失,客户端虽然可能仍然建立加密连接,但无法充分确认对端是否为预期的 Cassandra 服务。在特定网络环境下,攻击者可能通过伪造服务端、错误证书配置或中间人转发等方式影响连接安全。对于使用 Cassandra 存储业务数据、用户数据、日志数据或分布式应用状态的系统来说,该问题可能降低应用与数据库之间通信链路的可信度。
该漏洞主要影响使用 Spring Boot 自动配置 Cassandra,并启用 SSL 连接的应用。如果应用没有使用相关 Cassandra 自动配置,或没有通过 SSL 方式连接 Cassandra,则不属于该问题的主要影响范围。
受影响的 Spring 产品和版本
受影响产品为 Spring Boot,涉及以下版本:
● 4.0.0 - 4.0.5
● 3.5.0 - 3.5.13
● 3.4.0 - 3.4.15
● 3.3.0 - 3.3.18
● 2.7.0 - 2.7.32
已停止支持的版本同样受到影响。
缓解措施
受影响版本的用户应升级到对应的修复版本。升级后,Cassandra 自动配置在建立 SSL 连接时会按预期执行 TLS 主机名验证,从而降低连接到非预期服务端的风险。
无需采取额外缓解措施。建议受影响用户尽快升级至对应修复版本,并在升级后验证 Cassandra 连接、证书配置、数据读写和应用启动流程是否正常。
处理建议
建议先确认项目是否使用受影响范围内的 Spring Boot 版本,并检查 Cassandra 连接是否启用了 SSL。如果命中受影响条件,应尽快升级到对应修复版本。
同时,应检查 Cassandra 服务端证书配置是否规范,包括证书有效期、证书链、主机名或域名匹配关系。生产环境中,客户端连接地址应与证书中的主机标识保持一致,避免使用临时地址、错误别名或不受控的代理入口。
对于承载关键业务数据的 Cassandra 环境,建议同步检查访问链路、网络边界和日志记录,确认是否存在异常连接、证书校验异常、代理转发异常或非预期节点访问记录。升级修复版本后,应结合测试环境和生产灰度流程完成连接验证。
