Spring框架存在远程命令执行（CVE-2022-22965）缺陷通告

1、错误简介

Spring基础（Framework）是一个开源的轻量级J2EE技术的发展程序开发基础，提供了IOC、AOP及MVC等功能，解决了程序人员在开发中遇到的常见问题，提高了技术的发展程序开发便捷度和软件系统框架效率。

2022年3月31日，Spring官方所披露了Spring基础远程下达执行错误公告。由于Spring基础长期存在处理流程缺陷，从外部可在特定远程前提条件下，实现配置修改和明文写入。

2、错误危害

从外部可在特定前提条件下实现对目标Dreamcast的配置修改和进去明文写入，继而通过进去明文获得目标Dreamcast权限。

3、错误序号

4、因素范围

官方所公布该错误能用即可符合下述前提条件：

l 可用JDK9或更高发行版

l 可用Apache Tomcat作为Servlet容器

l 可用基本上WAR部署（相较于可用Spring Boot可执行jar部署）

l 基于spring-webmvc或spring-webflux

l Spring基础发行版为5.3.0至5.3.17,5.2.0至5.2.19，或更要到发行版

由于该错误的特性比较相比较，不排除其他能用作法的长期存在，建议及早系统升级至修复发行版。

可用Spring基础发行版为5.3.0至5.3.17,5.2.0至5.2.19，或更要到发行版并且可用JDK9或更高发行版均应看作有可能倍受错误因素。

任何符合上述前提条件且可用 @RequestMapping 释义与Plain Old Java Object (POJO)变量，均被看作倍受错误因素且易倍受能用；

任何符合上述前提条件且运行有 Tomcat 的组件，均被看作极有可能已无故能用（已公开恶意能用代码就是针对可用Apache Tomcat作为Servlet容器的技术的发展程序）。

5、错误检验

根据错误能用前提条件，可通过下述作法进行每项排查：

1. 检验前提可用Spring基础，若未可用，则不长期存在该错误。

2. 安全检查项目前提使⽤Spring变量绑定，若未可用，则不长期存在该错误。

3. 安全检查应用软件可用的JDK发行版，若发行版号小于9，则不长期存在该错误。

4. 安全检查局限性可用的应用软件前提为Tomcat，若未可用Tomcat，则暂不倍受该错误因素。

目前公开的错误能用代码只针对Tomcat应用软件，但不排除后续有新的能用代码出现，因此非Tomcat应用软件，仍长期存在风险必要性。

6、修复安全措施

目前，Spring官方所已披露新发行版启动错误修复，恳请及早系统升级至Spring基础至5.3.18或5.2.20发行版。