Spring框架远程代码执行漏洞(CVE-2022-22965)
近日,各安全厂家检测发现Spring相关框架存在远程代码执行漏洞,未经授权的远程攻击者可构造HTTP请求在目标系统上写入恶意程序从而执行任意代码,此漏洞为Spring framework远程代码执行漏洞(CVE-2010-1622)的绕过利用,但影响范围更为广泛,官方已于3.31号下午发布了5.2.20.RELEASE与5.3.18版本修复此漏洞。受影响范围
Spring Framework < 5.3.18
Spring Framework < 5.2.20
及其衍生产品
JDK ≥ 9
JRE ≥ 9
不受影响版本
Spring Framework = 5.3.18
Spring Framework = 5.2.20
或
JDK < 9
JRE < 9目前官方已发布新版本5.2.20.RELEASE与5.3.18修复此漏洞,请受影响的用户尽快更新进行防护,下载链接:https://github.com/spring-projects/spring-framework/releases
