Spring Framework是一个开源应用框架，初衷是为了降低应用程序开发的复杂度，具有分层体系结构，允许用户选择组件。

一、漏洞详情

2022年3月31日，Spring 官方发布安全更新通告，修复了 Spring Framework 中存在的远程代码执行漏洞，漏洞编号为CVE-2022-22965，在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行 (RCE) 的攻击，该漏洞由于JDK 9 + 中新添加的函数绕过了Spring CachedIntrospectionResults 对ClassLoader获取的限制，导致可以获取到任意ClassLoader，攻击者可以通过发送精心构造的数据请求来注入恶意属性触发漏洞，导致远程代码执行的漏洞风险。

二、影响范围

Spring Framework < 5.3.18

Spring Framework < 5.2.20

三、修复方案

当前 Spring Framework 官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://github.com/spring-projects/spring-framework/tags