spring
CVE-2026-40976:默认安全过滤器链在使用 Actuator 但未使用 Health 时缺少授权规则
严重 | 2026年4月23日 | CVE-2026-40976
描述
在特定条件下,Spring Boot 的默认 Web 安全机制可能无法生效,导致未经授权的访问者能够访问应用的所有端点。该问题会直接影响应用的访问控制边界,因此风险等级较高。
应用需要同时满足以下条件才会受到影响:
● 是基于 Servlet 的 Web 应用
● 没有自定义 Spring Security 配置,并依赖默认 Web 安全过滤器链
● 依赖 spring-boot-actuator-autoconfigure
● 不依赖 spring-boot-health
只要以上任一条件不成立,应用就不属于该漏洞的影响范围。也就是说,如果应用已经配置了自己的 Spring Security 授权规则,或者没有使用相关 Actuator 自动配置组合,该问题通常不会触发。
该漏洞的核心风险在于默认安全过滤器链没有按预期建立授权规则。对于包含管理端点、业务接口、内部状态接口或敏感调试信息的应用来说,一旦端点被未授权访问,可能造成配置泄露、状态信息暴露,甚至进一步扩大攻击面。
受影响的 Spring 产品和版本
受影响产品为 Spring Boot,涉及以下版本:
● 4.0.0 - 4.0.5
缓解措施
受影响版本的用户应升级到对应修复版本。升级后,默认安全过滤器链会按预期建立授权控制,降低未授权访问所有端点的风险。
无需采取额外缓解措施。建议受影响用户尽快升级至 4.0.6,并在升级后验证应用启动、认证流程、业务接口访问和 Actuator 端点访问控制是否正常。
处理建议
建议先确认项目是否使用 Spring Boot 4.0.0 至 4.0.5,并检查应用是否为 Servlet Web 应用。如果项目依赖 Actuator 自动配置,但没有依赖 Health 模块,同时又没有自定义 Spring Security 配置,应尽快安排升级。
对于生产环境,建议不要完全依赖默认安全行为来保护敏感端点。应明确配置访问规则,例如限定管理端点访问范围、区分公开接口和受保护接口、限制内部接口访问来源,并对关键路径启用认证与授权校验。
同时,应检查近期访问日志,关注是否存在未登录用户访问管理端点、异常接口探测、批量扫描或非预期路径访问行为。如果发现异常,应结合网关日志、应用日志和安全设备记录进一步确认影响范围。
