Perchè la vulnerabilità CVE-2022-22965 - Spring4Shell è così pericolosa?

• JDK 9 o successivi;
• Apache Tomcat come Servlet Container;
• Formato del file WAR (Web Application Resource) invece del JAR da impostazione predefinita;
• dependency da Spring-webmvc o Spring-webflux;
• Spring Framework nelle versioni dalla 5.3.0 alla 5.3.17 e dalla 5.2.0 alla 5.2.19 e precedenti.
  

Mitigazioni per Spring4Shell

• Aggiornare immediatamente a Spring Framework 5.3.18 e 5.2.20 o versioni successive;
• riferire all'advisory del vendor;
• aggiornare le soluzioni di sicurezza della rete e degli endpoint alle definizioni più recenti.