关于开源应用框架Spring Framework存在远程代码执行漏洞 （CVE-2022-22965）通报

监测发现，开源应用框架Spring Framework存在远程代码执行漏洞（CVE-2022-22965）。经分析研判，在JDK（Java开发工具包）9及以上版本环境中，攻击者可利用该漏洞执行远程命令，进而控制目标主机。目前，Spring官方已发布Spring Framework漏洞修复版本5.3.18和5.2.20（参考链接：https://github.com/spring-projects/spring-framework; https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement）。

鉴于Spring Framework应用广泛，该漏洞影响范围较大，请各单位高度重视，立即开展以下工作：一是在确保安全的前提下及时修复漏洞、消除隐患，同时全面梳理排查Spring Framework使用情况及资产受影响情况，按照附件格式填写相关内容并于4月5日前，通过信息科技非现场监管系统R-R-2临时报表，将表格反馈至银保监会统信部（排查情况表注明公司名称）。二是及时开展系统自查自检和安全加固，提高系统安全防护能力，严防发生网络攻击事件。三是加强安全监测，做好应急处置准备，如有突发情况要迅速处置并第一时间报告。同时，工作中请注意方式方法，严控知悉范围。