昨天我们宣布了一个Spring Framework远程代码执行漏洞CVE-2022-22965，其中列出了Apache Tomcat作为几个先决条件之一。Apache Tomcat团队随后发布了版本10.0.20、9.0.62和8.5.78，所有这些版本都关闭了Tomcat方面的攻击向量。虽然漏洞本身并不在Tomcat中，但在现实情况下，能够在多个升级路径中进行选择非常重要，这反过来又提供了灵活性和分层保护。

升级到Spring Framework 5.3.18+或5.2.20+仍然是我们的主要建议，这不仅因为它解决了根本原因并防止了其他可能的攻击向量，而且因为它增加了对自当前使用版本以来已解决的其他CVE的保护。

对于较旧的、不受支持的Spring Framework版本，Tomcat版本为报告的攻击向量提供了一个足够的解决方案。然而，我们必须强调，这只能被视为一个战术解决方案，而主要目标仍然应该是尽快升级到当前受支持的Spring Framework版本。

最后但同样重要的是，值得一提的是，降级到Java 8提供了另一种可行的解决方法，这可能是另一个战术解决方案选项。