Spring官宣网传大漏洞，并提供解决方案_spring-web(jar) 5.2.15.release漏洞升级6.1.6

该漏洞的利用需要满足下面的条件：

• JDK 9 +

• 使用Apache Tomcat部署

• 使用WAR方式打包

• 依赖spring-webmvc或spring-webflux

虽然可能国内大部分用户还在用JDK 8、或者采用内置Tomcat的方式运行，但由于该漏洞的特性比较普遍，不排除其他利用方式的存在。所以，DD还是建议在有条件的情况下，尽快升到最新版本来避免可能存在的风险发生。

解决方案

因为这次不是网传，而是Spring官宣，所以解决方案已经相对完善和容易了，受影响的用户可以通过下面的方法解决该漏洞的风险：

• Spring 5.3.x用户升级到5.3.18+

• Spring 5.2.x用户升级到5.2.20+

• Spring Boot 2.6.x用户升级到2.6.6+

• Spring Boot 2.5.x用户升级到2.5.12+

对于该漏洞的复习及更多细节，这里因为篇幅有限，就不具体介绍了，感兴趣的小伙伴可以关注公众号程序猿DD，回复“CVE-2022-22965”，获取更深入的解析文档。

然后，这里需要特别再提一下，之前已经收到消息并有所行动的小伙伴，没猜错的话应该都是用下面的解决方案来处理的吧？

@ControllerAdvice

@Order(Ordered.LOWEST_PRECEDENCE