Spring官宣高危漏洞大家好,我是栈管理员。前几天爆发的Spring漏洞,修复后又回来了?今天是愚人节,这是跟大家开的玩笑吗?这不,我也措手不及!这个笑话太大了!!之前看到的漏洞已经是过去式了:本以为是结束,没想到只是起点。现在Spring官方公布了最新的高危漏洞:EarlyAnnouncement??这只是一个提前通知吗?也许中期?后期?请继续阅读下面的内容!漏洞详情漏洞CVE-2022-22965漏洞名称远程代码执行漏洞严重级别高危影响范围SpringFramework-5.3.0~5.3.17-5.2.0~5.2.19-旧版本和其他不支持版本麻木。麻木了,这次是高危,一定要注意!!漏洞描述:用户可通过数据绑定触发远程代码执行(RCE)攻击漏洞。触发条件如下:JDK9+ApacheTomcat(war包部署形式)SpringMVC/SpringWebFlux应用一般使用SpringBoot开发,都打包成jar包,默认内嵌Tomcat,特别适合对于使用Docker/微服务的应用,也可以切换成war包部署,但是很少用,但是也不是不可用,比如一般的传统Projects,为了兼容老环境,或者为了维护统一Tomcat环境,也可以使用war包部署。所以,如果你使用的是默认嵌入Tomcat部署的默认SpringBoot可执行jar包,则不会受到影响,但由于该漏洞的普遍存在,可能会有其他的利用方式。.这是提前通知的意思吗?来吧,我要疯了!如果你想关注和学习最新最主流的Java技术,可以持续关注公众号Java技术栈,公众号会第一时间推送。解决方案Spring用户升级到以下安全版本:Spring5.3.18+Spring5.2.20+SpringBoot用户升级到以下安全版本:SpringBoot2.6.6+SpringBoot2.5.12+麻烦了!必须再次升级??这个SpringBoot2.6.5前几天刚刚发布。..可能是因为这个漏洞风险太大,没办法,必须升级主版本,防止用户使用有漏洞的版本。不过,如果你不想升级框架的主版本,也是可以的。毕竟,与SpringCloud或其他依赖的底层框架相比,很多应用程序可能无法兼容最新版本的SpringBoot。SpringBoot用户可以使用以下方法临时解决:packagecar.app;importjava.util.ArrayList;importjava.util.Arrays;importjava.util.List;importorg.springframework.boot.SpringApplication;importorg.springframework。boot.autoconfigure.SpringBootApplication;导入org.springframework.boot.autoconfigure.web.servlet.WebMvcRegistrations;导入org.springframework.context.annotation.Bean;导入org.springframework.web.bind.ServletRequestDataBinder;导入org.springframework.web。上下文请求org.springframework.web.servlet.mvc.method.annotation.ServletRequestDataBinderFactory;@SpringBootApplicationpublicclassMyApp{publicstaticvoidmain(String[]args){SpringApplication.run(CarApp.class,args);}@BeanpublicWebMvcRegistrationsmvcRegistrations(){返回新的WebMvcRegistrations(){@OverridepublicRequestMappingHandlerAdaptergetRequestMappingHandlerAdapter(){返回新的ExtendedRequestMappingHandlerAdapter();}};}privatestaticclassExtendedRequestMappingHandlerAdapterextendsRequestMappingHandlerAdapter{@OverrideprotectedInitBinderDataBinderFactorycreateDataBinderFactory(List
