远程主机上包含的 Spring Framework 库版本低于 5.2.20，或为低于 5.3.18 的 5.3.x。因此，该应用程序受到远程代码执行漏洞的影响：

  - JDK 9+ 版本上运行的 Spring MVC 或 Spring WebFlux 应用程序可能在进行数据绑定时受到远程代码执行 (RCE) 漏洞的影响。若要利用此漏洞，需要应用程序作为 WAR 部署在 Tomcat 上运行。如果应用程序部署为 Spring Boot 可执行文件 jar（即默认设置），攻击者便无法轻易利用漏洞。但是，该漏洞较为普遍，可能存在其他利用方式。

  - 利用此漏洞的先决条件是：
    - JDK 9 或更高版本
    Apache Tomcat 作为 Servlet 容器
    - 打包为 WAR
    - spring-webmvc 或 spring-webflux 依赖项

请注意，用户需要在其扫描策略中启用“显示潜在误报”设置（也称为 paranoid 模式），方可在扫描中启用此插件。此外，强烈建议启用“执行全面测试”设置以获得最准确的结果。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

检测

Spring Framework < 5.2.20 / 5.3.x < 5.3.18 远程代码执行漏洞 (CVE-2022-22965)

critical Nessus 插件 ID 159374

版本 1.10