spring-framework中的表单绑定的问题,实际是CVE-2010-1622漏洞在高版本jdk上的绕过。在JDK 9及以上的版本中,新增的module属性可以被利用从而绕过了之前CVE-2010-1622漏洞的修复逻辑。
Comment From: quaff
这是前不久修复了的已知问题,难道你用最新版本复现了?
Comment From: bclozel
@1290708840 if you have concerns about a CVE fix, the responsible thing to do is to reach out to the team using the appropriate channels: https://spring.io/security-policy