昨天我們宣布了一個 Spring Framework RCE 漏洞 CVE-2022-22965，其中 Apache Tomcat 是幾個先決條件之一。 Apache Tomcat 團隊隨後發布了版本10.0.20、9.0.62 和 8.5.78，這些版本都關閉了 Tomcat 端的攻擊途徑。 雖然此漏洞不在 Tomcat 本身中，但在實際情況中，能夠選擇多個升級路徑非常重要，這反過來提供了彈性和分層保護。

升級到 Spring Framework 5.3.18+ 或 5.2.20+ 仍然是我們的主要建議，不僅因為它解決了根本原因並防止了其他可能的攻擊途徑，還因為它增加了對自目前使用版本以來解決的其他 CVE 的保護。

對於較舊且不受支援的 Spring Framework 版本，Tomcat 版本為報告的攻擊途徑提供了一個足夠的解決方案。 然而，我們必須強調，這應該只被視為一種戰術性解決方案，而主要目標仍然是盡快升級到目前支援的 Spring Framework 版本。

最後但同樣重要的是，值得一提的是，降級到 Java 8 提供了另一種可行的解決方法，這可能是另一種戰術性解決方案選項。