突发，Spring框架发现重大漏洞！

互联网架构师

共 1059字，需浏览 3分钟

· 2022-04-16

上一篇：字节跳动面试经验总结，已顺利拿到offer！

近日，spring 框架发布重大漏洞信息。

该漏洞编号为：CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+
漏洞级别：Critical

详细描述为：

在JDK 9+上运行的Spring MVC或Spring WebFlux应用程序可能容易通过数据绑定进行远程代码执行（RCE）。该漏洞要求应用程序作为WAR部署在Tomcat上运行。如果应用程序部署为Spring Boot可执行jar，即默认jar，则不受漏洞的攻击。然而，脆弱性的性质更为普遍，可能还有其他方法可以利用它。

这些是漏洞执行的先决条件：

1.JDK 9或更高

2.Apache Tomcat作为Servlet容器

3.打包为WAR

4.依赖Spring-webmvc或spring-webflux

受影响的Spring Framework版本：

Spring Framework5.3.0 到 5.3.17
Spring Framework5.2.0 到 5.2.19
较旧的、不受支持的版本也受到影响

官方声明地址：https://tanzu.vmware.com/security/cve-2022-22965

解决方案

因为这次不是网传，而是Spring官宣，所以解决方案已经相对完善和容易了，受影响的用户可以通过下面的方法解决该漏洞的风险：

Spring 5.3.x用户升级到5.3.18+
Spring 5.2.x用户升级到5.2.20+
Spring Boot 2.6.x用户升级到2.6.6+
Spring Boot 2.5.x用户升级到2.5.12+

感谢您的阅读，也欢迎您发表关于这篇文章的任何建议，关注我，技术不迷茫！小编到你上高速。

· END ·

最后，关注公众号互联网架构师，在后台回复：2T，可以获取我整理的 Java 系列面试题和答案，非常齐全。

正文结束

推荐阅读 ↓↓↓

1.心态崩了！税前2万4，到手1万4，年终奖扣税方式1月1日起施行~

2.深圳一普通中学老师工资单曝光，秒杀程序员，网友：敢问是哪个学校毕业的？

3.从零开始搭建创业公司后台技术栈

4.程序员一般可以从什么平台接私活？

5.清华大学：2021 元宇宙研究报告！

6.为什么国内 996 干不过国外的 955呢？

7.这封“领导痛批95后下属”的邮件，句句扎心！

8.15张图看懂瞎忙和高效的区别！

浏览 3

点赞

收藏

分享

举报

评论

图片

表情

前端框架新势力大盘点

点击上方前端Q，关注公众号回复加群，加入前端Q技术交流群近年来，前端领域快速发展，新的框架不断涌现，为开发者提供了更多选择和解决方案。尽管 React、Vue、Angular、Next.js、Preact 等老牌框架依然稳坐市场主流，但新势力前端框架的崛起也为特定场景带来了更佳的适配和优

Spring Boot + flowable 快速实现工作流

关注我们,设为星标,每天7:40不见不散,架构路上与您共享回复架构师获取资源大家好，我是你们的朋友架构君，一个会写代码吟诗的架构师。来源：blog.csdn.net/zhan107876/article/details/120815560总览一、flowable-ui部署运行二、绘制流程图绘图细节：

Java架构师社区

Spring Boot 优雅实现多租户架构

来源：blog.csdn.net/u010349629/article/details/130737253👉 欢迎加入小哈的星球，你将获得: 专属的项目实战 / Java 学习路线 / 一对一提问 / 学习打卡 / 赠书福利全栈前后端分离博客项目 2.0

美团一面：为什么 Spring 和 IDEA 都不推荐使用 @Autowired 注解？？

点击关注公众号，Java 干货及时推送↓推荐阅读：铜三铁四，怒拿 35K * 14 薪！作者：小亮哥Ya链接：https://juejin.cn/post/7080441168462348319大家在使用IDEA开发的时候有没有注意到过一个提示，在字段上使用Spring的依赖注入注解@Au

110 个 Java 主流组件和框架整理，常用的应有尽有，建议收藏！！

点击关注公众号，Java 干货及时推送↓推荐阅读：铜三铁四，怒拿 35K * 14 薪！整理：四猿外以下排序是按照从技术组件到开发框架到代码工具，也有一些实在不好分类的，就放到最后了。WEB 容器Tomcathttps://tomcat.apache.org/Jettyhttps://ww

发现一奇怪现象：失业的人要么跑滴滴，要么送外卖，其实这5件事比找工作重要得多！

上一篇：前知乎员工娶了个道教老婆，结果自己失业了，在老婆的影响下，慢慢相信命运，怀疑是老婆帮我转运了在职场生涯中，我们无可避免地会面临失业的风险。失业不仅仅是一个令人不安的话题，它还代表着我们的经济来源可能突然中断。对于那些肩负着家庭责任，比如抚养孩子和照顾老人的人来说，失业更是一件极具压力的事情。

开发者全社区

Spring Boot + MybatisX，真香！

👉 欢迎加入小哈的星球，你将获得: 专属的项目实战 / Java 学习路线 / 一对一提问 / 学习打卡 / 赠书福利全栈前后端分离博客项目 2.0 版本完结啦，演示链接：http://116.62.199.48/ ，新项目正在酝酿中

大模型“芝麻开门”的首选框架，LangChain全新教程！附600分钟详解视频

LangChain 作为一个开源的大语言模型应用框架，自诞生之日起就备受瞩目。然而，它的发展之路却走过了不少曲折。一开始，LangChain 遭受了不少质疑和非议。有人认为它只适合入门学习，代码质量和设计缺乏工业级的严谨性，难以应用于生产环境。的确，作为一个新兴项目，LangChain 的早期版本还

机器学习算法与Python实战

一个开源的轻量级agent框架-Agere

Datawhale干货推荐人：happyapplehorse，Datawhale学习者简介agere是一个开源的轻量级agent框架，主要特点是通用性和完全的可定制性。它通过将一个复杂流程拆解为一系列独立的小步骤，来简化构建具有复杂逻辑的agent的流程。agere是agen

手动实现 Spring Boot 日志链路追踪，无需引入组件，日志定位更方便！

来源：blog.csdn.net/qq_35387940/article/details/125062368👉 欢迎加入小哈的星球，你将获得: 专属的项目实战 / Java 学习路线 / 一对一提问 / 学习打卡 / 赠书福利全栈前后端分离博客项目 2.0

点赞

收藏

分享

举报