2022年3月31日，Spring官方發布安全公告，披露CVE-2022-22965 Spring Framework遠程代碼執行漏洞

漏洞描述

Spring框架（Framework）是一個開源的輕量級J2EE應用程序開發框架，提供了IOC、AOP及MVC等功能，解決了程序人員在開發中遇到的常見問題，提高了應用程序開發便捷度和軟件系統構建效率。2022年3月31日，Spring官方發布安全公告，披露CVE-2022-22965 Spring Framework遠程代碼執行漏洞。由于Spring框架存在處理流程缺陷，攻擊者可在遠程條件下，實現對目標主機的后門文件寫入和配置修改，繼而通過后門文件訪問獲得目標主機權限。使用Spring框架或衍生框架構建網站等應用，且同時使用JDK版本在9及以上版本的，易受此漏洞攻擊影響。應急響應中心提醒 Spring Framework 用戶盡快采取安全措施阻止漏洞攻擊。

漏洞評級

Spring Framework 遠程代碼執行漏洞嚴重

影響版本

Spring Framework 5.3.x < 5.3.18 

Spring Framework 5.2.x < 5.2.20

注：其他 Spring Framework 小版本未更新均可能受影響，使用Java 8 及之前版本運行的 Spring Framework 程序不受該漏洞影響。

安全版本

Spring Framework = 5.3.18 

Spring Framework = 5.2.20

修復方案

建議受影響客戶升級Spring Framework框架至 5.3.18 、5.2.20 及其以上版本。

相關鏈接

1、https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

2、https://www.cnvd.org.cn/webinfo/show/7541