尊敬的凌梦云用户，您好！

凌梦云安全运营中心监测到， Spring Framework 框架被曝出远程代码执行漏洞，漏洞编号CVE-2022-22965，该漏洞可导致远程写入、执行任意代码等危害。目前已监测到该漏洞存在在野利用，漏洞细节已经被公开传播。

为避免您的业务受影响，凌梦云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

Spring框架（Framework）是一个开源的轻量级J2EE应用程序开发框架，提供了IOC、AOP及MVC等功能，解决了程序人员在开发中遇到的常见问题，提高了应用程序开发便捷度和软件系统构建效率。

由于Spring框架历史漏洞修复代码存在缺陷，在 JDK 9 及以上版本环境下，远程攻击者可借助Tomcat中间件构造数据包修改日志文件，从而可在任意路径下写入Webshell等恶意文件，最终可导致执行任意代码控制服务器等危害。

据官方说明，目前已被泄漏的漏洞利用主要影响在 JDK 9+ 上运行的 Spring MVC 和 Spring WebFlux 应用程序。漏洞的成功利用需要应用程序作为 WAR 部署在 Tomcat 上运行。（如果应用程序按默认方式部署为 Spring Boot 可执行 jar，则不受到影响，但是不排除其他利用方法）

目前已知触发该漏洞需要满足以下条件：
1.使用 JDK9 及以上版本
2.Apache Tomcat 作为 Servlet 容器
3.打包为 WAR
4.使用 spring-webmvc 或 spring-webflux 的依赖

攻击者利用该漏洞可导致任意写入文件并远程执行任意代码，漏洞利用难度较低

Spring Framework 5.3.X < 5.3.18
Spring Framework 5.2.X < 5.2.20

并且使用了JDK版本 >= 9

排查办法
同时满足以下条件，则受该漏洞影响：

一、检查使用的JDK 版本号：
在业务系统的运行服务器上，执行“java -version”命令查看运行的 JDK 版本（比如显示 java version "17.0.2" 这样的字段，jdk 版本即为 17；java version "1.8.0_91"，jdk 版本为 8），如果JDK版本号 < 9，则不受漏洞影响。JDK版本号 >= 9，则在影响范围内.

二、判断是否使用 Spring 相关框架，如未使用则不受影响：
业务系统项目无论以 war 包形式部署运行或以 jar 包的形式独立运行，判断方法类似，可按照如下步骤进行判断：

1) 解压 war/jar 包：将 war/jar 文件的后缀修改成.zip，解压 zip 文件
2) 在解压缩目录下搜索是否存在 spring-beans-*.jar 格式的 jar 文件(如 spring-beans-5.3.11.jar)，如存在则说明业务系统使用了 spring 框架进行开发。
3) 如果 spring-beans-*.jar 文件不存在，则在解压缩目录下搜索 CachedIntrospectionResuLts.class 文件是否存在，如存在则说明业务系统使用了 Spring 框架开发。

Spring Framework = 5.3.18
Spring Framework = 5.2.20
及基于Spring Framework 5.3.18 的 Spring Boot 2.6.6 、Spring Boot 2.5.12

【备注】：建议您在升级前做好数据备份工作，避免出现意外