Spring Framework 发布了 6.1.14 版本，其中包含针对以下两个漏洞的修复：

• CVE-2024-38819：功能性 Web 框架中的路径遍历漏洞（第二次报告）
• CVE-2024-38820：Spring Framework DataBinder 区分大小写的匹配异常

请注意，Spring Framework 5.3.x 和 6.0.x 版本的开源支持已于去年八月结束，此前已发布公告。此修复程序已应用于现已可用的 5.3.41 和 6.0.25 商业版本。

如果您不是商业客户，请尽快考虑升级到受开源支持的版本。

项目升级

使用 Spring Boot 2.7、3.0 或 3.1 的商业客户可以使用 Spring Boot 热修复版本 2.7.22.2、3.0.17.2 和 3.1.13.2。这些版本现已在 Spring 商业构件库中提供，可以通过Spring 企业订阅访问。