昨天我們 宣佈了一項 Spring Framework RCE 漏洞 CVE-2022-22965，其中將 Apache Tomcat 列為幾個先決條件之一。Apache Tomcat 團隊已釋出版本 10.0.20、9.0.62 和 8.5.78，這些版本都關閉了 Tomcat 端的攻擊向量。雖然該漏洞本身並非 Tomcat 的問題，但在實際情況中，能夠選擇多種升級路徑以提供靈活性和分層保護非常重要。

我們強烈建議升級到 Spring Framework 5.3.18+ 或 5.2.20+，這不僅是因為它解決了根本原因並防止了其他可能的攻擊向量，而且還因為它增加了自當前版本以來已解決的其他 CVE 的防護。

對於舊的、不再受支援的 Spring Framework 版本，Tomcat 版本為已報告的攻擊向量提供了充分的解決方案。然而，我們必須強調，這隻能被視為一種戰術性解決方案，而主要目標仍應儘快升級到當前 受支援的 Spring Framework 版本。

最後但同樣重要的是，值得一提的是，降級到 Java 8 提供了另一種可行的變通方法，這可能是另一種戰術性解決方案選項。