我謹代表團隊和所有貢獻者，非常高興地宣佈 Spring Framework 6.1.6、6.0.19 和 5.3.34 現已可用。

• Spring Framework 6.1.6 包含 41 項修復和文件改進。此版本將隨 Spring Boot 3.2.5 一起釋出，後者將於下週釋出。
• Spring Framework 6.0.19 包含 14 項修復和文件改進。此版本將隨 Spring Boot 3.1.11 一起釋出，後者將於下週釋出。
• Spring Framework 5.3.34 包含 10 項修復和文件改進。

本次釋出解決了“URL 解析與主機驗證”（第 3 份報告）相關的 CVE-2024-22262。像原始的 CVE-2024-22243 這樣流行專案上的重要 CVE，通常會引起安全社群的關注。在過去的幾周裡，我們收到了許多關於新的攻擊變種的報告和有用的反饋。Spring 應用程式的安全性是我們的首要任務，我們將繼續以透明和及時的方式處理漏洞。

我們正在 積極開發一種新的方法，將徹底重新審視實現。

升級您的專案

使用 Spring Boot 2.7 或 3.0 的商業客戶可以使用 Spring Boot Hotfix 版本 2.7.20.3 和 3.0.15.3。這些版本現已在 Spring 商業製品庫中提供，並且可以透過 Spring Enterprise Subscription 訪問。

Spring Boot 3.1 和 3.2 的商業客戶和 OSS 使用者應立即手動升級到 Spring Framework 6.0.19 和 6.1.6，並在下週這些版本可用時升級到 Spring Boot 3.1.11 和 3.2.5。

專案頁面 | GitHub | 問題 | 文件