技术文章 - CS366379
Java Spring Framework 漏洞(CVE-2022-22963、CVE-2022-22950、CVE-2022-22965)对 Windchill 和 FlexPLM 的影响
已修改: 22-May-2025
适用于
- Windchill PDMLink 11.1 M020 to 12.1.0.0
- FlexPLM 11.1 M010 to 12.0.3.0
说明
- Spring 已报告多个漏洞,包括一个零日严重 RCE(远程代码执行)
- CVE-2022-22963
- CVSS 评分 (VMware) = 5.4
- 描述:在 Spring Cloud Function 版本 3.1.6、3.2.2 及更早的不受支持的版本中,使用路由功能时,用户可以提供特制的 SpEL 作为路由表达式,这可能会导致访问本地资源。
- 缓解措施:受影响版本的用户请升级至 3.1.7、3.2.3。无需其他步骤。
- 适用性:不适用于 Windchill 或 FlexPLM。无影响。
- 其他参考:Tanzu vmware 还分享了有关CVE-2022-22963 的摘要。
- CVE-2022-22950
- CVSS 评分 (VMware) = 5.4
- 描述:在 Spring Framework 版本 5.3.0 - 5.3.16 及更早的不受支持的版本中,用户可能会提供特制的 SpEL 表达式,这可能会导致拒绝服务情况。
- 缓解措施:受影响版本的用户应升级到 5.3.17+ 版本。无需其他步骤。
- 适用性:见分辨率
- 附加参考:Tanzu VMware 还分享了有关CVE-2022-22950 的摘要
- CVE-2022-22965 (Spring4Shell)
- CVSS 评分( Black Duck ):9.8(严重)
- 描述:在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能存在通过数据绑定进行远程代码执行 (RCE) 的漏洞。特定漏洞利用需要应用程序以 WAR 部署方式在 Tomcat 上运行。如果应用程序以 Spring Boot 可执行 jar 包的形式部署(即默认部署方式),则不易受此漏洞影响。然而,该漏洞的性质更为普遍,可能存在其他利用方式。
- 缓解措施:更新至 Spring Framework 5.3.18
- 适用性:见分辨率
- 其他参考:Tanzu vmware 还分享了有关CVE-2022-22965 的摘要。
这是文章 366379 的 PDF 版本,可能已过期。最新版本 CS366379