Pada Akhir Maret 2022, Spring4Shell – sebuah kerentanan pada Spring Framework – yang merupakan open-source framework untuk pengembangan aplikasi berbasis Java terungkap. Kerentanan Remote Code Execution melalui data binding tersebut kemudian ditandai sebagai CVE-2022-22965. Hasil analisis menunjukkan nilai kerentanan CVSS 3.0 tersebut sebesar 9.8 yang dikategorikan CRITICAL.
Produk yang terdampak dari kerentanan tersebut adalah: Spring MVC dan Spring WebFlux yang berjalan di JDK 9+; Apache Tomcat sebagai Servlet container yang dikemas sebagai traditional WAR dan digunakan sendiri pada Tomcat instance; dan Spring Framework versi 5.3.0 hingga 5.3.17, versi 5.2.0 hingga 5.2.19, dan versi yang lebih lama.
Beberapa hal yang dapat dilakukan untuk mencegah kerentanan tersebut diantaranya melakukan: pembaruan ke versi Spring Framework terbaru; pembaruan ke versi Spring Boot terbaru; pembaruan ke versi Tomcat terbaru; downgrade ke Java 8.5; dan disallowed fields.
Informasi lengkap berbagai langkah antisipasi tersebut dapat diunduh melalui link di bawah ini.