昨天我们 宣布了一项 Spring Framework RCE 漏洞 CVE-2022-22965，其中将 Apache Tomcat 列为几个先决条件之一。Apache Tomcat 团队已发布版本 10.0.20、9.0.62 和 8.5.78，这些版本都关闭了 Tomcat 端的攻击向量。虽然该漏洞本身并非 Tomcat 的问题，但在实际情况中，能够选择多种升级路径以提供灵活性和分层保护非常重要。

我们强烈建议升级到 Spring Framework 5.3.18+ 或 5.2.20+，这不仅是因为它解决了根本原因并防止了其他可能的攻击向量，而且还因为它增加了自当前版本以来已解决的其他 CVE 的防护。

对于旧的、不再受支持的 Spring Framework 版本，Tomcat 版本为已报告的攻击向量提供了充分的解决方案。然而，我们必须强调，这只能被视为一种战术性解决方案，而主要目标仍应尽快升级到当前 受支持的 Spring Framework 版本。

最后但同样重要的是，值得一提的是，降级到 Java 8 提供了另一种可行的变通方法，这可能是另一种战术性解决方案选项。