前边网传漏洞(Spring爆出安全漏洞?),时隔2天,官方发布了新版本用来修复此次的漏洞

官方博客原文:https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

漏洞信息

漏洞等级:High
CVE编号:CVE-2022-22965
漏洞描述:Spring Framework 是一个开源应用框架,旨在降低应用程序开发的复杂度。在JDK9及以上版本环境中,一些新的版本特性,可以使攻击者绕过一些安全特性,借助某些中间件构造数据包修改敏感文件,达到远程代码执行目的。

漏洞影响

  1. JDK 9 或更高版本
  2. 应用程序作为 WAR 部署在 Tomcat 上运行
  3. Spring Framework 版本 5.3.0 到 5.3.17、5.2.0 到 5.2.19 以及更早的版本
  4. 该漏洞涉及ClassLoader访问,因此除了针对 Tomcat 特定报告的特定攻击外ClassLoader,其他攻击也可能针对不同的 custom ClassLoader

解决方案

  1. 升级到安全版本
Spring Framework >= 5.3.18
Spring Framework >= 5.2.20
Spring Boot >= 2.5.12
Spring Boot >= 2.6.6
  1. 降级Java 8
  2. 开启WAF防护

任选1种方法即可解决