各部门、学院：

近日Spring框架曝出 RCE 0day 漏洞，在Spring框架的JDK9版本（及以上版本）中，远程攻击者可在满足特定条件的基础上，通过框架的参数绑定功能获取 AccessLogValve 对象并诸如恶意字段值，从而触发 pipeline 机制并写入任意路径下的文件。

目前已知，触发该漏洞需要满足两个基本条件：

1、使用 JDK9 及以上版本的 Spring MVC 框架；

2、版本低于5.3.18的Spring 框架以及衍生的框架 spring-beans-*.jar文件或者存在 CachedIntrospectionResults.class。

目前，Spring官方已发布新版本并完成漏洞修复，建议受漏洞影响的系统运营者尽快联系厂商进行自查，并及时升级至最新版本：

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement

参考链接：

https://github.com/spring-projects/spring-framework/compare/v5.3.17...v5.3.18

信息化建设与管理办公室

2022年4月4日