近日,专业安全机构监测发现Spring Core组件存在远程代码执行漏洞,该漏洞编号确定为CVE-2022-22965。目前Spring公司已发布安全版本修复漏洞,建议受影响的用户及时更新至最新版本。
一、漏洞影响范围
如果满足以下两个条件,信息系统会受到漏洞影响:
1.使用的JDK版本9或者以上;
2.采用Spring框架开发或者衍生框架开发(存在spring-bean*.jar),spring-framework版本低于v5.3.18或者spring-framework版本低于v5.2.20 RELEASE。
二、安全版本
spring-framework v5.3.18
spring-framework v5.2.20 RELEASE
下载地址:https://github.com/spring-projects/spring-framework/releases
鉴于该漏洞影响范围较大,潜在危害程度较高,请各办公单位高度重视,组织各信息系统负责人对所管理的信息系统进行排查,在确保安全的情况下及时修补漏洞,消除安全隐患,提高安全防范能力。如有疑问,请与网络中心联系。