更新

• [05-17] 由于混淆，CVE-2022-22975 应为 CVE-2022-22978。博客已更新以反映此更正。

Spring Security 5.7.0 (发布说明), 5.6.4 (发布说明), 5.5.7 (发布说明) 已发布，修复了

• CVE-2022-22978

• CVE-2022-22976.

请尽快更新。

项目网站 | 参考 | 帮助

我谨代表 Data 团队和所有贡献者，很高兴地宣布 2021.2 发布系列正式发布 (GA)，以及 2022.0 系列的第四个里程碑。

2021.2 发布系列基于 Spring Framework 6、Java17 和 Jakarta EE 9，并已开始开发 2022.0 系列，其中包含错误修复和精选的向后移植功能。

除了依赖项升级外，还有一些主要更改：

• 用于内省投影类型的基础设施。
• 用于属性特定值转换器的通用基础设施。
• 增强了 data-jpa 中 `IdClass` 的处理支持。
• data-mongodb 中的声明式 `Update` 方法。
• data-elasticsearch 中的重新索引支持。
• data-cassandra 的直接投影。
• Redis Sentinel 的 ACL 支持。
• JDBC 的锁定和 NULL 优先级支持。
• JPA 的查询重写器 (Query Rewriter).
…

嗨，Spring 爱好者！在本期节目中，Josh Long (@starbuxman) 与同样是 Java Champion、EasyMock 工程师、Java 界的杰出人物、JUG 领导者和传奇人物 Henri Tremblay (@henri_tremblay) 进行了交流。

我谨代表团队以及所有贡献者，很高兴地宣布 Spring Framework 6.0.0-M4 现已发布。

Spring Framework 6.0.0-M4 包含 昨日发布的 5.3.20 版本的所有修复，并且还包含针对 6.0 分支的 39 项修复和改进。

项目主页 | GitHub | 问题反馈 | 文档

我谨代表团队和所有贡献者，很高兴地宣布 Spring Framework 5.3.20 和 5.2.22 现已发布。

Spring Framework 5.3.20 包含 14 项修复和改进。Spring Framework 5.2.22 包含 2 项向后移植。

此外，这些版本还包含对 2 个漏洞的修复：

• CVE-2022-22970 "Spring Framework 通过数据绑定到 MultipartFile 或 Servlet Part 造成拒绝服务 (DoS)"，发生在处理文件上传并依赖数据绑定将 `MultipartFile` 或 `javax.servlet.Part` 设置到模型对象字段的 Spring MVC 或 Spring WebFlux 应用程序中。严重性：中

• CVE-2022-22971 "Spring Framework 通过 WebSocket 上的 STOMP 造成拒绝服务 (DoS)"
  在拥有 WebSocket 上 STOMP 端点的 Spring 应用程序中，已认证用户可能遭受拒绝服务 (DoS) 攻击。严重性：中

…

大家好，Spring 的粉丝们！我写这篇博客的时候，我现在身处——我简直不敢相信我能说出这句话——国外！我现在在英国伦敦！当然，对于已经在这里生活了数百万人来说，这没什么特别值得注意的。但不是我住在这里。我是一名游客！我住在旧金山。我不得不坐飞机来这里！坐飞机！和别人一起！跨越海洋。这是我自 2020 年 3 月以来第一次乘坐国际航班，我非常兴奋能来参加 Devoxx UK，同时也非常高兴能见到近三年未见的老朋友。如果你们了解我，以及我过去的旅行方式（可以看这里），你们就能体会到我现在有多么奇怪……

嗨，Spring 爱好者！在本期节目中，Josh Long (@starbuxman) 与同样是 Java Champion 和 Java 生态系统中杰出人物的 Chandra Guntur (@cguntur) 讨论了 Java、Spring、Spring Katas 等话题。

嗨，Spring 爱好者！欢迎收听本期《本周 Spring》！大家好吗？

我很激动！本周我将在 ArabJUG 发表演讲，并将参加微软盛大的 JDConf 活动。这两个活动都是线上进行的。然后，下周一，我将乘坐飞机前往英国伦敦，在那里我将参加 Devoxx UK 2022 的演讲。然后，不到两周后，我将在西班牙巴塞罗那参加 Spring IO 的演讲！再过一周，我将在葡萄牙里斯本参加 JNation 的演讲。朋友们，说我激动万分都算轻描淡写了。

而这一切都还没有算上上周以来发生的精彩事情……

有时，无论您尝试应用多少功能，似乎都无法让 Spring Data JPA 在查询发送到 EntityManager 之前应用所有您想要的东西。

使用 3.0.0-SNAPSHOT（并作为 Spring Data 下一个里程碑发布列车的目标），您现在可以在查询发送到 EntityManager 之前获取查询并“重写”它。也就是说，您可以在最后一刻进行任何更改。

请看下面

示例 1. 使用 @Query 声明 QueryRewriter

public interface MyRepository extends JpaRepository<User, Long> {

    @Query(value…