昨天我们宣布了一个 Spring Framework RCE 漏洞CVE-2022-22965，其中将 Apache Tomcat 列为几个前提条件之一。 Apache Tomcat 团队此后发布了版本10.0.20、9.0.62 和 8.5.78，所有这些版本都关闭了 Tomcat 端的攻击向量。 虽然漏洞本身不在 Tomcat 中，但在实际情况下，能够选择多个升级路径非常重要，这反过来提供了灵活性和分层保护。

升级到 Spring Framework 5.3.18+ 或 5.2.20+ 仍然是我们的主要建议，这不仅因为它解决了根本原因并防止了其他可能的攻击向量，而且还因为它为自当前使用版本以来已解决的其他 CVE 增加了保护。

对于旧的、不受支持的 Spring Framework 版本，Tomcat 版本为报告的攻击向量提供了一个足够的解决方案。 然而，我们必须强调，这只能被视为一种战术解决方案，而主要目标仍然应该是尽快升级到当前受支持的 Spring Framework 版本。

最后但并非最不重要的一点是，值得一提的是，降级到 Java 8 提供了另一种可行的解决方法，这可能是另一种战术解决方案选项。