Добрый день!
Пару дней назад в Spring Framework была найдена критическая уязвимость: https://tanzu.vmware.com/security/cve-2022-22965
Как сказано в отчете, уязвимость проявляется в следующих условиях:
- JDK 9 or higher
- Apache Tomcat as the Servlet container
- Packaged as WAR
- spring-webmvc or spring-webflux dependency
Кроме того, известные сценарии воспроизведения уязвимости включают в себя использование POJO привязанных к параметрам запроса контроллеров Spring MVC. Такой сценарий используется во фреймворке Jmix только в аддоне WebDAV. Таким образом, вероятно ваш проект уязвим только если вы используете WebDAV или если у вас есть собственные Spring MVC контроллеры с POJO в параметрах запроса. Примите также во внимание, что WebDAV контроллеры требуют аутентификации, так что вероятность реальной атаки низка.
Тем не менее, мы рекомендуем обновить зависимость spring-webmvc в вашем проекте. Это можно сделать, добавив следующую строку в файл build.gradle:
dependencies {
implementation 'org.springframework:spring-webmvc:5.3.18'
// ...
На следующей неделе мы выпустим новую версию 1.2.2 фреймворка Jmix с обновленными зависимостями (см. https://github.com/jmix-framework/jmix/issues/645). После апргрейда проекта на Jmix 1.2.2, удалите явную зависимость на spring-webmvc из вашего build.gradle.
Рекомендации для CUBA Platform: Об уязвимости в Spring Framework (Spring4Shell) - Анонсы - CUBA.Platform