组件介绍

Spring是一个支持快速开发Java EE应用程序的框架。 它提供了一系列底层容器和基础设施，并可以和大量常用的开源框架无缝集成，可以说是开发Java EE应用程序的必备。

漏洞描述

近日，深信服安全团队监测到一则Spring Framework组件存在远程代码执行漏洞的信息，漏洞编号：CVE-2022-22965，漏洞威胁等级：严重。

该漏洞是由于Spring Framework未对传输的数据进行有效的验证，攻击者可利用该漏洞在未授权的情况下，构造恶意数据进行远程代码执行攻击，最终获取服务器最高权限。

影响范围

Spring Framework 作为主流的Java开发框架，全球有数百万使用Spring Framework框架的资产，可能受漏洞影响的资产广泛分布于世界各地，国内主要分布在广东、北京、上海等省市。

目前受影响的Spring Framework的版本：

Spring Framework 5.3.X < 5.3.18 

Spring Framework 5.2.X < 5.2.20

注：其他Spring Framework旧版本同样会受到影响。

Spring Framework 官方提供 

Spring Framework 5.3.18 和 Spring Framework 5.2.20两个安全版本（截止至3月31日）

官方修复建议

当前Spring Framework官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。