[CVE-2022-22965]Spring Framework远程命令执行漏洞

Spring框架远程命令执行漏洞（CNVD-2022-23942），远程攻击者可在满足特定条件的基础上，通过框架的参数绑定功能获取AccessLogValve对象并注入恶意字段值，从而触发pipeline机制并 写入任意路径下的文件。

在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行 (RCE) 的攻击。具体的利用需要应用程序作为 WAR 部署在 Tomcat 上运行。如果应用程序被部署为 Spring Boot 可执行 jar，即默认值，则它不易受到漏洞利用。但是，该漏洞的性质更为普遍，可能还有其他方法可以利用它。