文章总结： 本文披露CVE-2026-22733，SpringBoot存在认证绕过漏洞，当需认证的应用程序端点声明在CloudFoundryActuator端点所用路径下时可被利用。影响版本包括2.7.0至2.7.32、3.3.0至3.3.18、3.4.0至3.4.15、3.5.0至3.5.12、4.0.0至4.0.4等。建议相关版本用户及时升级并参考官方安全公告进行修复。 综合评分： 68 文章分类： 漏洞预警,应用安全,WEB安全,漏洞分析

CVE-2026-22733｜Spring Boot存在认证绕过漏洞

alicy alicy

信安百科

2026年3月25日 09:30 河北

0x00 前言

Spring是Java EE编程领域的一个轻量级开源框架。

Spring 框架的核心特性是可以用于开发任何 Java 应用程序，但是在 Java EE 平台上构建 web 应用程序是需要扩展的。

Spring 框架的目标是使 J2EE 开发变得更容易使用，通过启用基于 POJO 的编程模型来促进良好的编程实践。

0x01 漏洞描述

当需要认证的应用程序端点被声明在CloudFoundry Actuator端点所使用的路径下时，启用了Actuator的Spring Boot应用程序可能会受到“认证绕过”漏洞的威胁。

0x02 CVE编号

CVE-2026-22733

0x03 影响版本

2.7.0 <= Spring Boot < 2.7.32

3.3.0 <= Spring Boot < 3.3.18

3.4.0 <= Spring Boot < 3.4.15

3.5.0 <= Spring Boot < 3.5.12

4.0.0 <= Spring Boot < 4.0.4

0x04 漏洞详情

https://spring.io/security/cve-2026-22733

0x05 参考链接

https://spring.io/security/cve-2026-22733

推荐阅读：

CVE-2025-41253｜Spring Cloud Gateway表达式注入漏洞

CVE-2024-38819｜Spring Framework路径遍历漏洞（POC）

CVE-2024-38816｜Spring Framework路径遍历漏洞

Ps：国内外安全热点分享，欢迎大家分享、转载，请保证文章的完整性。文章中出现敏感信息和侵权内容，请联系作者删除信息。信息安全任重道远，感谢您的支持！！！

本公众号的文章及工具仅提供学习参考，由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害，均由使用者本人负责,本公众号及文章作者不为此承担任何责任。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信安百科 alicy alicy《CVE-2026-22733｜Spring Boot存在认证绕过漏洞》