我很高興代表團隊和所有貢獻者宣佈 Spring Framework 6.1.6、6.0.19 和 5.3.34 現已釋出

• Spring Framework 6.1.6 包含 41 個修復和文件改進。此版本將與 Spring Boot 3.2.5 一起釋出，預計下週釋出。
• Spring Framework 6.0.19 包含 14 個修復和文件改進。此版本將與 Spring Boot 3.1.11 一起釋出，預計下週釋出。
• Spring Framework 5.3.34 包含 10 個修復和文件改進。

這些版本解決了 CVE-2024-22262，即 "URL Parsing with Host Validation (3rd report)"。 像最初的 CVE-2024-22243 這樣，關於流行專案的重要 CVE 通常會受到安全社群的關注。 在過去的幾周裡，我們收到了許多關於新攻擊變種的報告和有用的反饋。 Spring 應用程式的安全性是我們的首要任務，我們將繼續以透明和及時的方式解決漏洞。

我們正在積極研究一種新方法，該方法將完全重新審視該實現。

升級您的專案

使用 Spring Boot 2.7 或 3.0 的商業客戶可以使用 Spring Boot Hotfix 版本 2.7.20.3 和 3.0.15.3。 這些版本現在可以在 Spring 商業構件儲存庫中獲得，並且可以透過 Spring 企業訂閱 訪問。

Spring Boot 3.1 和 3.2 的商業客戶和 OSS 使用者應立即手動升級到 Spring Framework 6.0.19 和 6.1.6，並在下週 Spring Boot 3.1.11 和 3.2.5 可用時升級到這兩個版本。

專案頁面 | GitHub | 問題 | 文件