在 Spring 框架RCE 安全漏洞及解决方式介绍了
Spring框架爆出的RCE(远程命令执行)漏洞,现在这个漏洞有了统一的编号: CVE-2022-22965。 这个漏洞的主要原因是在JDK 9+版本里,Spring MVC 的数据绑定时出现的漏洞。
影响范围
受影响的是同时满足以下状况的场景:
- JDK 9及以上版本
- 使用Tomcat 服务器
- 以war 部署运行
- 使用了spring-webmvc或 spring-webflux
- Spring框架版本是 5.3.0 到 5.3.17, 5.2.0 到 5.2.19,以及更旧的版本。
如果上面的条件有一个不满足, 是不需要担心的。
最佳解决方法
- Spring 框架: 升级到 5.2.20
- Spring Boot升级到2.6.6
- Tomcat的8,9.,10 版本可以使用 8.5.78 9.0.62 和10.0.20版本
临时解决方法参考 Spring 框架RCE 安全漏洞及解决方式
Spring官方修复历程
[03-31 11:59] 发布Spring框架的5.3.18 and 5.2.20, 但是对Spring Boot的措施没有发布。主要是通过disallowedFields
[03-31 14:00] 正式的漏洞号码发布