Os mantenedores do Spring Framework lançaram um patch de emergência para resolver uma falha de execução remota de código recém-divulgada que, se explorada com sucesso, pode permitir que um invasor não autenticado assuma o controle de um sistema alvo.

Rastreada como CVE-2022-22965, a falha de alta gravidade afeta as versões do Spring Framework 5.3.0 a 5.3.17, 5.2.0 a 5.2.19 e outras versões mais antigas sem suporte. Recomenda-se que os usuários atualizem para as versões 5.3.18 ou posterior.

O Spring Framework é um framework Java que oferece suporte de infraestrutura para desenvolver aplicações web. A exploração específica requer que o aplicativo seja executado no Tomcat como uma implantação WAR.

Se o aplicativo for implantado como um jar executável Spring Boot, ou seja, no padrão, ele não estará vulnerável à exploração. No entanto, a natureza da vulnerabilidade é mais geral, e pode haver outras maneiras de explorá-lo.