CVE-2026-40478 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Thymeleaf 模板引擎存在**安全绕过**漏洞。 🔥 **后果**：特定语法模式未被正确中和，直接导致**服务器端模板注入 (SSTI)** 攻击。

🛡️ **CWE**：CWE-917（增强表达式中的特殊元素）。 🔍 **缺陷**：表达式执行机制未能正确**中和**特定语法模式，导致恶意代码执行。

📦 **组件**：thymeleaf (Java 模板引擎)。 📅 **版本**：**3.1.3.RELEASE 及之前版本**均受影响。

💀 **权限**：攻击者可获取**高权限**（CVSS 评分极高，C:H/I:H/A:H）。 📊 **数据**：可完全控制服务器，窃取数据或篡改内容。

🚪 **门槛**：**无需认证** (PR:N)，网络可达即可 (AV:N)。 ⚙️ **复杂度**：**高** (AC:H)，需要精心构造特定语法模式才能绕过。

🧪 **Exp**：官方参考链接已发布 (GHSA-xjw8-8c5c-9r79)。 📉 **在野**：数据中未提及现成 PoC 或大规模在野利用，但需警惕。

🔍 **自查**：检查 Java 项目中 Thymeleaf 依赖版本。 📋 **特征**：若版本 **≤ 3.1.3.RELEASE**，即存在风险。

🛠️ **补丁**：官方已发布安全公告 (GitHub Security Advisories)。 ✅ **建议**：立即升级至**修复后的最新版本**。

🚧 **规避**：若无补丁，需严格**过滤/中和**用户输入。 🚫 **限制**：避免在模板中执行不可信表达式，或升级引擎版本。

⚡ **优先级**：**紧急**！ 📈 **理由**：CVSS 向量显示影响范围极广 (S:C)，且无需认证，建议**立即修复**。