我谨代表团队和所有做出贡献的人，很高兴地宣布 Spring Authorization Server 1.2.3、1.1.6 和 1.0.6 正式发布。

这些版本解决了 Spring Authorization Server 中的 PKCE 降级问题 CVE-2024-22258。

Tanzu Spring 运行时

使用 Spring Boot 2.7 或 3.0 的商业客户可以使用新的 Spring Boot 热修复版本机制，提供版本 2.7.20.2 和 3.0.15.2。Spring Boot 热修复版本是及时的版本，在发布 CVE 修复程序时，会修补依赖项管理以使用最新的 Spring 工件。今天发布的热修复版本可在 Spring 商业工件存储库中获得，并且可以通过 Spring Enterprise Subscription 访问。

Spring Boot 3.1 和 3.2 的商业客户和 OSS 用户现在应手动升级到 Spring Authorization Server 1.1.6 和 1.2.3，并在本周晚些时候 Spring Boot 3.1.10 和 3.2.4 可用时升级到这些版本。

敬请关注有关热修复版本和我们在该领域的计划的更多详细信息。

项目页面 | GitHub 问题 | 项目看板