CVE-2026-40477 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Thymeleaf 模板引擎存在**安全绕过**漏洞。<br>🔥 **后果**：攻击者可利用**服务器端模板注入 (SSTI)**，完全控制受影响的服务。

🔍 **CWE**：CWE-917 (增强表达式中的对象引用)。<br>⚠️ **缺陷**：表达式执行机制未能正确**限制可访问对象范围**，导致恶意代码执行。

📦 **组件**：thymeleaf (Java 模板引擎)。<br>📉 **版本**：**3.1.3.RELEASE 及之前版本**均受影响。

💀 **权限**：攻击者可获得**高权限**，甚至 RCE (远程代码执行)。<br>📂 **数据**：可读取、修改服务器上的**敏感数据**，破坏系统完整性。

🔑 **门槛**：**中等偏高**。<br>⚙️ **配置**：CVSS 显示 **AC:H** (高攻击复杂度)，无需认证 (PR:N)，但利用需精心构造表达式。

🧪 **Exp**：当前数据中 **PoC 为空**。<br>🌍 **在野**：暂无公开在野利用报告，但风险极高，需警惕。

🔎 **自查**：检查项目中 `pom.xml` 或 `build.gradle`。<br>📋 **特征**：确认 `thymeleaf` 版本是否 **≤ 3.1.3.RELEASE**。

🛡️ **补丁**：官方已发布安全公告 (GHSA-r4v4-5mwr-2fwr)。<br>✅ **建议**：立即升级至**修复后的最新版本**。

🚧 **临时规避**：若无法升级，**严禁**在模板中处理用户输入。<br>🚫 **限制**：使用严格白名单，禁用危险表达式功能，或隔离受影响服务。

🔥 **优先级**：**紧急**。<br>⚡ **理由**：CVSS 评分高 (C:H/I:H/A:H)，SSTI 漏洞危害极大，建议**立即修复**。