From 2d6d1cfa5fbe6cf36b92b41c8a28e91b64f62958 Mon Sep 17 00:00:00 2001
From: cp1996 <1102213590@qq.com>
Date: Fri, 10 Apr 2026 20:07:23 +0800
Subject: [PATCH] =?UTF-8?q?fix:=20=E7=A7=BB=E9=99=A4=E6=9C=AA=E4=BD=BF?=
 =?UTF-8?q?=E7=94=A8=E7=9A=84=20spring-boot-starter-actuator=20=E4=BE=9D?=
 =?UTF-8?q?=E8=B5=96=20(CVE-2026-22733)?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

actuator 依赖在本项目中未被任何业务代码使用（全仓库 grep 零命中
org.springframework.boot.actuate.*，无自定义 @Endpoint /
HealthIndicator / InfoContributor），仅默认暴露 /actuator/health。

项目系统监控信息由 OSHI 实现，不依赖 actuator。移除此依赖以
降低攻击面并规避 CVE-2026-22733。

如未来确需使用 actuator，应同时配置
management.endpoints.web.exposure.include 白名单，避免默认
暴露超出预期的端点。
---
 pom.xml | 6 +++++-
 1 file changed, 5 insertions(+), 1 deletion(-)

diff --git a/pom.xml b/pom.xml
index 77f11573..4c771181 100644
--- a/pom.xml
+++ b/pom.xml
@@ -220,11 +220,15 @@
             <groupId>org.springframework.boot</groupId>
             <artifactId>spring-boot-starter-aop</artifactId>
         </dependency>
-        <!-- actuator 端点监控 -->
+
+
+        <!-- 修复 CVE-2026-22733 移除 actuator（项目系统监控使用 OSHI 实现，不依赖此组件） -->
+        <!--
         <dependency>
             <groupId>org.springframework.boot</groupId>
             <artifactId>spring-boot-starter-actuator</artifactId>
         </dependency>
+        -->
 
         <dependency>
             <groupId>org.springframework.boot</groupId>