Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Français
Entry № 1205

Spring4Shell (CVE-2022-22965)

Vérifié parCybersecurity entrepreneur & security researcher

Qu'est-ce que Spring4Shell (CVE-2022-22965) ?

Spring4Shell (CVE-2022-22965)Vulnérabilité d'exécution de code à distance de 2022 dans Spring Framework due à un data binding non sûr sur JDK 9+ permettant de manipuler Tomcat pour déployer un webshell.

Divulguée fin mars 2022, Spring4Shell (CVE-2022-22965) est une faille RCE du request mapping Spring WebMvc/WebFlux sur Java 9+ quand l'application est déployée en WAR sur Tomcat. En envoyant des paramètres traversant class.module.classLoader, l'attaquant pouvait écraser la configuration de logging de Tomcat pour écrire un JSP malveillant dans le webroot et obtenir une RCE non authentifiée. Elle a parfois été confondue avec la CVE-2022-22963 (sans rapport) de Spring Cloud Function. Défenses : mettre à jour Spring Framework vers 5.3.18/5.2.20 ou supérieur (mettre à jour le JDK seul ne suffit pas), bloquer les patterns documentés sur le WAF, éviter les déploiements WAR monolithiques sous Tomcat.

Exemples

  1. 01

    Envoi d'un POST avec des paramètres class.module.classLoader pour écrire un shell JSP dans une webapp Tomcat.

  2. 02

    Scan massif d'applications Spring Boot déployées en WAR pour y planter des webshells après la divulgation.

Questions fréquentes

Qu'est-ce que Spring4Shell (CVE-2022-22965) ?

Vulnérabilité d'exécution de code à distance de 2022 dans Spring Framework due à un data binding non sûr sur JDK 9+ permettant de manipuler Tomcat pour déployer un webshell. Cette notion relève de la catégorie Vulnérabilités en cybersécurité.

Que signifie Spring4Shell (CVE-2022-22965) ?

Vulnérabilité d'exécution de code à distance de 2022 dans Spring Framework due à un data binding non sûr sur JDK 9+ permettant de manipuler Tomcat pour déployer un webshell.

Comment se défendre contre Spring4Shell (CVE-2022-22965) ?

Les défenses contre Spring4Shell (CVE-2022-22965) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Quels sont les autres noms de Spring4Shell (CVE-2022-22965) ?

Noms alternatifs courants : CVE-2022-22965, RCE Spring core.

Termes liés