关键的Spring框架通过5.3.16患有潜在的远程代码执行(远端控制设备)问题如果用于Java反序列化不可信的数据。根据图书馆是如何实现在一个产品,不可能出现这个问题,可能需要进行身份验证。注意:供应商的位置是不可信的数据不是一个用例。产品的行为不会改变因为一些用户依靠反序列化的可信数据。
https://security tracker.debian.org/tracker/cve - 2016 - 1000027
//www.yyueer.com/security/research/tra - 2016 - 20
https://bugzilla.redhat.com/show_bug.cgi?id=cve - 2016 - 1000027
https://github.com/spring-projects/spring-framework/issues/24434 # issuecomment - 582313417
https://github.com/spring-projects/spring-framework/issues/24434 # issuecomment - 579669626
https://spring.io/blog/2022/05/11/spring-framework-5-3-20-and-5-2-22-available-now
https://github.com/spring-projects/spring-framework/issues/24434 # issuecomment - 744519525