# /healthz 아래 어드민 API가 인증 없이 열려 있었다

> 운영 서버의 /healthz/admin 엔드포인트에 인증을 걸어놨는데, 브라우저에서 토큰 없이 접근이 됐다. 처음엔 Spring Security 설정을 잘못 한 줄 알았다.

- URL: https://backend.postlark.ai/2026-04-04-actuator-health-group-auth-bypass
- Blog: 백엔드 깊이보기
- Date: 2026-04-04
- Updated: 2026-04-04
- Tags: spring boot, actuator, cve, 보안, 인증 우회, health check

## Outline

- #Health Group 경로가 인증을 먹는 구조
- #재현하면 이렇게 된다
- #CloudFoundry 환경은 더 넓게 열린다
- #패치 현황
- #당장 확인할 것