3月31日，Spring官方已证实漏洞存在并更新补丁包

前边网传漏洞(Spring爆出安全漏洞？)，时隔2天，官方发布了新版本用来修复此次的漏洞

官方博客原文：https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

漏洞信息

漏洞等级：High CVE编号：CVE-2022-22965 漏洞描述：Spring Framework 是一个开源应用框架，旨在降低应用程序开发的复杂度。在JDK9及以上版本环境中，一些新的版本特性，可以使攻击者绕过一些安全特性，借助某些中间件构造数据包修改敏感文件，达到远程代码执行目的。

漏洞影响

1. JDK 9 或更高版本
2. 应用程序作为 WAR 部署在 Tomcat 上运行
3. Spring Framework 版本 5.3.0 到 5.3.17、5.2.0 到 5.2.19 以及更早的版本
4. 该漏洞涉及ClassLoader访问，因此除了针对 Tomcat 特定报告的特定攻击外ClassLoader，其他攻击也可能针对不同的 custom ClassLoader

解决方案

1. 升级到安全版本

Spring Framework >= 5.3.18
Spring Framework >= 5.2.20
Spring Boot >= 2.5.12
Spring Boot >= 2.6.6

1. 降级Java 8
2. 开启WAF防护

任选1种方法即可解决