Spring Framework 2.5.X Y todas las versiones 3.0.x excepto la última (3.0.3) son vulnerables a un ataque remoto que permite la ejecución de código arbitrario dentro del servidor. El atacante emplea un formulario para cambiar una propiedad (class.classLoader.URLs) de un objeto del servidor empleando el mecanismo que con este fin proporciona Spring. Lo que incluye dentro de esa propiedad es la URLs de un jar con código malicioso, que puede estar alojado en cualquier otro servidor web.

Una vez esa propiedad ha sido modificada, los classloaders de Spring cargarán ese jar, permitiendo al atacante inyectar código dentro de nuestra aplicación. La única versión disponible de modo gratuito que esta parcheada es la última versión de Spring: la 3.0.3. En este momento, no es seguro tener una instancia de Spring 2.5.x, o 3.0.x anterior a esta versión. Los clientes de pago pueden actualizarse a las versiones 2.5.6.SEC02 o 2.5.7.SR01, pero esas versiones no están disponibles para la comunidad.

Por lo que yo entiendo, se trata de un agujero de seguridad bastante grave. Y la única solución es actualizar la versión del servidor. Así que todos los que tengáis una instancia de Spring en producción que no sea la última versión del framework... ya sabeis lo que os toca.