我很高興代表團隊和所有貢獻者宣佈 Spring Framework 5.3.20 和 5.2.22 現已釋出。

Spring Framework 5.3.20 包括 14 個修復和改進。Spring Framework 5.2.22 包括 2 個反向移植。

此外，這些版本包括對 2 個漏洞的修復

• CVE-2022-22970 “Spring Framework 透過將資料繫結到 MultipartFile 或 Servlet Part 導致 DoS” 在 Spring MVC 或 Spring WebFlux 應用程式中處理檔案上傳並依賴資料繫結將 MultipartFile 或 javax.servlet.Part 設定為模型物件中的欄位，可能導致拒絕服務 (DoS) 攻擊。 嚴重性：中

• CVE-2022-22971 “Spring Framework 透過 WebSocket 上的 STOMP 導致 DoS”
  具有 STOMP over WebSocket 端點的 Spring 應用程式中，經過身份驗證的使用者可能發起拒絕服務 (DoS) 攻擊。 嚴重性：中

建議所有 Spring 生產場景升級到這些新版本。

專案頁面 | GitHub | 問題 | 文件