我代表团队和所有做出贡献的人，很高兴地宣布 Spring Framework 6.1.6、6.0.19 和 5.3.34 现已推出。

• Spring Framework 6.1.6 包含 41 个修复和文档改进。此版本将与下周发布的 Spring Boot 3.2.5 一起提供。
• Spring Framework 6.0.19 包含 14 个修复和文档改进。此版本将与下周发布的 Spring Boot 3.1.11 一起提供。
• Spring Framework 5.3.34 包含 10 个修复和文档改进。

这些版本解决了 “URL 解析与主机验证（第三次报告）” 中的 CVE-2024-22262。流行项目上的重要 CVE，例如最初的 CVE-2024-22243，通常会引起安全社区的关注。在过去几周中，我们收到了许多关于新攻击变体的报告和有益的反馈。Spring 应用程序的安全是我们优先考虑的事项，我们将以透明和及时的方式继续解决漏洞。

我们正在 积极研究一种新方法，该方法将彻底重新审视实现。

升级您的项目

使用 Spring Boot 2.7 或 3.0 的商业客户可以使用 Spring Boot 热修复版本 2.7.20.3 和 3.0.15.3。这些版本现已在 Spring 商业工件存储库中提供，可以使用 Spring 企业订阅 访问。

Spring Boot 3.1 和 3.2 的商业客户和 OSS 用户应立即手动升级到 Spring Framework 6.0.19 和 6.1.6，并在下周这些版本可用时升级到 Spring Boot 3.1.11 和 3.2.5。

项目页面 | GitHub | 问题 | 文档