Spring 프레임워크 RCE 패치 릴리즈 (CVE-2022-22965)

(spring.io)

2P by xguru 2022-04-01 | favorite | 댓글과 토론

원격코드 실행이 가능한 취약점 패치
Spring 5.3.0 ~ 5.3.17, 5.2.0 ~ 5.2.19 및 그 이전 버전에 해당
조건 : JDK9 이상 + 톰캣 + WAR로 패키징 + spring-webmvc / webflux 의존성이 있는 경우
5.3.18 이나 5.2.20 으로 업그레이드하면 해결
→ 업그레이드 불가능하면, @ControllerAdvice 에 WebDataBinder에 disallowedFields 세팅을 권장