我谨代表团队以及所有做出贡献的人员，很高兴宣布 Spring Authorization Server 1.2.3、1.1.6 和 1.0.6 正式发布。

这些版本解决了 Spring Authorization Server 中CVE-2024-22258 的 PKCE 降级问题。

Tanzu Spring Runtime

使用 Spring Boot 2.7 或 3.0 的商业客户可以利用新的 Spring Boot Hotfix 发布机制，提供 2.7.20.2 和 3.0.15.2 版本。Spring Boot Hotfix 发布是及时的发布，用于在发布 CVE 修复时修补依赖管理，以使用最新的 Spring 伪像。今天发布的 hotfix 版本可在 Spring 商业伪像存储库中获得，并且可以通过 Spring Enterprise Subscription 访问。

Spring Boot 3.1 和 3.2 的商业客户和 OSS 用户现在应该手动升级到 Spring Authorization Server 1.1.6 和 1.2.3，并在本周晚些时候当这些版本可用时升级到 Spring Boot 3.1.10 和 3.2.4。

请继续关注关于 hotfix 发布以及我们在该领域的计划的更多详细信息。

项目页面 | GitHub 问题 | 项目看板