【漏洞描述】：

编号名为CVE-2022-22965, CVSS评分9.8 （高风险威胁）

在 Spring 框架的 JDK9 版本（及以上版本）中，远程攻击者可在满足特定条件的基础上，通过框架的参数绑定功能获取 AccessLogValve 对象并诸如恶意字段值，从而触发 pipeline 机制并 写入任意路径下的文件。 目前已知，触发该漏洞需要满足两个基本条件：

a) 使用 JDK9 及以上版本的 Spring MVC 框架

b) Spring 框架以及衍生的框架 spring-beans-*.jar 文件或者存在 CachedIntrospectionResults.class

【漏洞影响版本范围】：

受影响版本:

Spring 框架的 JDK9 版本（及以上版本）

JDK 版本号的排查可以通过:

在业务系统的运行服务器上，执行“java -version” 命令查看运行的 JDK 版本，如果版本号小于等于 8，则不受漏洞影响

【相关漏洞发布链接】：

N/A

【产品受影响范围】：

智邦已筛选所有产品， 无发现产品中使用相关的框架作为开发内容配置， 故智邦目前的产品类别不受此漏洞的影响。

智邦将继续关注监控该问题，如果有任何新信息发现，我们将更新公告。

【更新记录】：

2022-3-31 v1 – Initial