Spring Boot 2.5.12 est sorti et est disponible sur Maven Central. Cette nouvelle version du framework, en plus d'apporter des corrections de bugs, inclut un correctif pour la vulnérabilité estampillée CVE-2022-22965.

Via cette vulnérabilité, une application Spring MVC ou Spring WebFlux exécutée sur JDK 9+ peut être vulnérable à l'exécution de code à distance via la liaison de données. L'exploit spécifique nécessite que l'application s'exécute sur Tomcat en tant que déploiement WAR. Il est vrai que si l'application est déployée en tant que jar exécutable Spring Boot, c'est-à-dire la valeur par défaut, elle n'est pas vulnérable à l'exploit. Cependant, la nature de la vulnérabilité est plus générale et il peut y avoir d'autres façons de l'exploiter, c'est pourquoi mettre à jour vers Spring Boot 2.5.12 et combler cette faille potentielle de sécurité est important.