我很高兴代表团队和所有贡献者宣布 Spring Framework 6.1.6、6.0.19 和 5.3.34 现已发布

• Spring Framework 6.1.6 包含 41 个修复和文档改进。此版本将与 Spring Boot 3.2.5 一起发布，预计下周发布。
• Spring Framework 6.0.19 包含 14 个修复和文档改进。此版本将与 Spring Boot 3.1.11 一起发布，预计下周发布。
• Spring Framework 5.3.34 包含 10 个修复和文档改进。

这些版本解决了 CVE-2024-22262，即 "URL Parsing with Host Validation (3rd report)"。 像最初的 CVE-2024-22243 这样，关于流行项目的重要 CVE 通常会受到安全社区的关注。 在过去的几周里，我们收到了许多关于新攻击变种的报告和有用的反馈。 Spring 应用程序的安全性是我们的首要任务，我们将继续以透明和及时的方式解决漏洞。

我们正在积极研究一种新方法，该方法将完全重新审视该实现。

升级您的项目

使用 Spring Boot 2.7 或 3.0 的商业客户可以使用 Spring Boot Hotfix 版本 2.7.20.3 和 3.0.15.3。 这些版本现在可以在 Spring 商业构件存储库中获得，并且可以通过 Spring 企业订阅 访问。

Spring Boot 3.1 和 3.2 的商业客户和 OSS 用户应立即手动升级到 Spring Framework 6.0.19 和 6.1.6，并在下周 Spring Boot 3.1.11 和 3.2.5 可用时升级到这两个版本。

项目页面 | GitHub | 问题 | 文档