Spring官宣网传大漏洞

shenzhugege

Spring沦陷了！这样的标题这几天是不是看腻了？然而，仔细看看都是拿着之前的几个毫不相干的CVE来大吹特吹。所以，昨天发了一篇关于最近网传的Spring大漏洞的文章，聊了聊这些让人迷惑的营销文、以及提醒大家不要去下载一些利用漏洞提供补丁的钓鱼内容。而对于这个网传的漏洞，依然保持关注状态，因为确实可能存在，只是没有官宣。

就在不久前（3月31日晚），Spring社区发布了一篇名为《Spring Framework RCE, Early Announcement》的文章，官宣了最近网传的Spring漏洞。这也证实了网传漏洞确实存在，并且并非最近很多文章说提到的3月28、29日公布的CVE，如果你是照着那些文章解决问题的话，请根据这次官宣内容重新来过吧。

这次确定的Spring核心框架中的RCE漏洞，CVE号为CVE-2022-22965[1]。



这个漏洞是在周二深夜，由AntGroup FG的codePlutos，meizjm3i向VMware报告。周三，Spring官方对该问题进行了调查、分析并确定了解决方案，同时计划在周四进行紧急版本的发布。

由于该漏洞被泄漏在网络上，所以Spring官方紧急发布了相关修复的版本，因为是Spring核心框架中的漏洞，所以涉及面较广。所以在这篇博文中也是在不断的持续更新进展，下面截止到本文发稿的进展时间线：



下面就来一起看看这个被网传了2天的神秘漏洞的官宣内容和解决方案。

影响范围
该漏洞的利用需要满足下面的条件：

JDK 9 +
使用Apache Tomcat部署
使用WAR方式打包
依赖spring-webmvc或spring-webflux
虽然可能国内大部分用户还在用JDK 8、或者采用内置Tomcat的方式运行，但由于该漏洞的特性比较普遍，不排除其他利用方式的存在。所以，DD还是建议在有条件的情况下，尽快升到最新版本来避免可能存在的风险发生。

kekgn

505427112

      

dzbao180

maogege-chen

燊

sunjq

sunjq

mark1030

sunjq