漏洞影响范围

漏洞影响的产品版本包括：

版本低于5.3.18和5.2.20的Spring框架或其衍生框架构建的网站或应用。

漏洞分析

该漏洞影响在 JDK 9+ 上运行的 Spring MVC 和 Spring WebFlux 应用程序。具体的利用需要将应用程序打包并部署为 Servlet 容器上的传统 WAR。如果应用程序被部署为 Spring Boot 可执行 jar，即默认值，则它不易受到漏洞利用。但是，该漏洞的性质更为普遍，可能还有其他方法可以利用它。

解决方案

升级 Tomcat

对于较旧的应用程序，在具有不受支持的 Spring Framework 版本的 Tomcat 上运行，升级到 Apache Tomcat 10.0.20、9.0.62或8.5.78，可以提供足够的保护。但是，这应该被视为一种战术解决方案，主要目标应该是尽快升级到当前支持的 Spring Framework 版本。如果您采用这种方法，您应该考虑设置Disallowed Fields以及纵深防御方法。

降级到 Java 8

如果您既不能升级 Spring Framework 也不能升级 Apache Tomcat，那么降级到 Java 8 是一种可行的解决方法。