Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Español
Entry № 1205

Spring4Shell (CVE-2022-22965)

Revisado porCybersecurity entrepreneur & security researcher

¿Qué es Spring4Shell (CVE-2022-22965)?

Spring4Shell (CVE-2022-22965)Vulnerabilidad de 2022 de ejecución remota de código en Spring Framework por data binding inseguro en JDK 9+ que permitía manipular propiedades de Tomcat para desplegar un webshell.

Divulgado a finales de marzo de 2022, Spring4Shell (CVE-2022-22965) es un fallo de ejecución remota de código en el request mapping de Spring (WebMvc/WebFlux) sobre Java 9+ cuando las aplicaciones se despliegan como WAR sobre Tomcat. Enviando parámetros que recorren class.module.classLoader, el atacante podía sobrescribir la configuración de logging de Tomcat para escribir un JSP controlado dentro del webroot, logrando RCE sin autenticación. Se confundió a veces con el CVE-2022-22963 (no relacionado) de Spring Cloud Function. Defensas: actualizar a Spring Framework 5.3.18/5.2.20 o posterior (no basta con actualizar el JDK), bloquear los patrones documentados en WAF y evitar despliegues monolíticos como WAR sobre Tomcat.

Ejemplos

  1. 01

    Enviar un POST con parámetros class.module.classLoader para escribir un JSP shell en una webapp Tomcat.

  2. 02

    Escaneo masivo de aplicaciones Spring Boot desplegadas como WAR para sembrar webshells tras la divulgación.

Preguntas frecuentes

¿Qué es Spring4Shell (CVE-2022-22965)?

Vulnerabilidad de 2022 de ejecución remota de código en Spring Framework por data binding inseguro en JDK 9+ que permitía manipular propiedades de Tomcat para desplegar un webshell. Pertenece a la categoría de Vulnerabilidades en ciberseguridad.

¿Qué significa Spring4Shell (CVE-2022-22965)?

Vulnerabilidad de 2022 de ejecución remota de código en Spring Framework por data binding inseguro en JDK 9+ que permitía manipular propiedades de Tomcat para desplegar un webshell.

¿Cómo defenderse de Spring4Shell (CVE-2022-22965)?

Las defensas contra Spring4Shell (CVE-2022-22965) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

¿Cuáles son otros nombres para Spring4Shell (CVE-2022-22965)?

Nombres alternativos comunes: CVE-2022-22965, RCE de Spring core.

Términos relacionados