内容概要：Spring framework 是Spring 里面的一个基础开源框架，2022年3月31日，VMware Tanzu发布漏洞报告，Spring Framework存在远程代码执行漏洞，在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行 (RCE) 的攻击。此源码针对以上漏洞进行漏洞复现，亲测可用。 使用人群：使用于想要学习和了解该漏洞的安全从业者、大学生、以及其他用户。另外也适用于想要调试该漏洞的研究者。 其他说明：本源码使用pom搭建，需要下载maven工具。

3月31日，spring 官方通报了 Spring 相关框架存在远程代码执行漏洞，并在 5.3.18 和 5.2.20.RELEASE 中修复了该漏洞。 漏洞评级：严重 影响组件：org.springframework:spring-beans 影响版本：< 5.3.18 和 < 5.2.20.RELEASE 的Spring框架均存在该漏洞，建议用户尽快进行排查处置。 缺陷分析 CVE-2010-1622中曾出现由于参数自动绑定机制导致的问题， 此前通过黑名单的方式修复了该漏洞，但是 JDK9之后引入了 Module，使得可以通过 getModule 绕过前者的黑名单限制，最后导致远程代码执行。