我正在尝试理解 Spring 发布的问题描述和解决方案 https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
但是,我不明白为什么这是 Tomcat 特有的。部署到 Jetty 或 Wildfly 的 war 文件不会存在同样的问题吗?
这个特定的漏洞利用演示基于引用 servlet 环境上下文的 Tomcat 特定类加载器之一的自定义实现。这就是为什么这个演示是 Tomcat 特定的,特别是它利用了一个记录器阀门是处理管道中的第一个阀门这一事实(这用于将自定义 JSP 代码编写为 webapps 根目录中的日志文件)
它还需要 Java9+,因为它通过 class.getModule() 进行访问,这在早期版本中不存在。