Spring RCE 漏洞 CVE-2022-22965 的终极解决方案

在 Spring 框架RCE 安全漏洞及解决方式介绍了
Spring框架爆出的RCE（远程命令执行）漏洞，现在这个漏洞有了统一的编号： CVE-2022-22965。 这个漏洞的主要原因是在JDK 9+版本里，Spring MVC 的数据绑定时出现的漏洞。

影响范围

受影响的是同时满足以下状况的场景：

• JDK 9及以上版本
• 使用Tomcat 服务器
• 以war 部署运行
• 使用了spring-webmvc或 spring-webflux
• Spring框架版本是 5.3.0 到 5.3.17, 5.2.0 到 5.2.19,以及更旧的版本。

如果上面的条件有一个不满足， 是不需要担心的。

最佳解决方法

• Spring 框架： 升级到 5.2.20
• Spring Boot升级到2.6.6
• Tomcat的8，9.，10 版本可以使用 8.5.78 9.0.62 和10.0.20版本

临时解决方法参考 Spring 框架RCE 安全漏洞及解决方式

Spring官方修复历程

[03-31 11:59] 发布Spring框架的5.3.18 and 5.2.20, 但是对Spring Boot的措施没有发布。主要是通过disallowedFields
[03-31 14:00] 正式的漏洞号码发布