昨天我們宣佈了一個 Spring Framework RCE 漏洞CVE-2022-22965，其中將 Apache Tomcat 列為幾個前提條件之一。 Apache Tomcat 團隊此後釋出了版本10.0.20、9.0.62 和 8.5.78，所有這些版本都關閉了 Tomcat 端的攻擊向量。 雖然漏洞本身不在 Tomcat 中，但在實際情況下，能夠選擇多個升級路徑非常重要，這反過來提供了靈活性和分層保護。

升級到 Spring Framework 5.3.18+ 或 5.2.20+ 仍然是我們的主要建議，這不僅因為它解決了根本原因並防止了其他可能的攻擊向量，而且還因為它為自當前使用版本以來已解決的其他 CVE 增加了保護。

對於舊的、不受支援的 Spring Framework 版本，Tomcat 版本為報告的攻擊向量提供了一個足夠的解決方案。 然而，我們必須強調，這隻能被視為一種戰術解決方案，而主要目標仍然應該是儘快升級到當前受支援的 Spring Framework 版本。

最後但並非最不重要的一點是，值得一提的是，降級到 Java 8 提供了另一種可行的解決方法，這可能是另一種戰術解決方案選項。