我代表团队和所有贡献者，很高兴地宣布 Spring Framework 5.3.20 和 5.2.22 现已发布。

Spring Framework 5.3.20 包含 14 个修复和改进。Spring Framework 5.2.22 包含 2 个回传。

此外，这些版本还包含 2 个漏洞的修复

• CVE-2022-22970 “Spring Framework 通过数据绑定到 MultipartFile 或 Servlet Part 导致拒绝服务” Spring MVC 或 Spring WebFlux 应用程序中拒绝服务 (DoS) 攻击，这些应用程序处理文件上传并依赖数据绑定将 MultipartFile 或 javax.servlet.Part 设置到模型对象中的字段。严重程度：中等

• CVE-2022-22971 “使用 STOMP over WebSocket 的 Spring Framework 拒绝服务”
  经过身份验证的用户在具有 STOMP over WebSocket 端点的 Spring 应用程序中进行拒绝服务 (DoS) 攻击。严重程度：中等

建议在所有 Spring 生产环境中升级到这些新版本。

项目页面 | GitHub | 问题 | 文档