我很高興代表團隊以及所有貢獻者宣布 Spring Framework 5.3.20 和 5.2.22 現已推出。

Spring Framework 5.3.20 包含 14 個修復和改進。Spring Framework 5.2.22 包含 2 個反向移植。

此外，這些版本還包含 2 個漏洞的修復

• CVE-2022-22970 "Spring Framework DoS via Data Binding to MultipartFile or Servlet Part" Spring MVC 或 Spring WebFlux 應用程式中，處理檔案上傳並依賴資料繫結將 MultipartFile 或 javax.servlet.Part 設定為模型物件中的欄位的阻斷服務 (DoS) 攻擊。 嚴重性：中

• CVE-2022-22971 "Spring Framework DoS with STOMP over WebSocket"
  已通過身份驗證的使用者在具有 STOMP over WebSocket 端點的 Spring 應用程式中進行阻斷服務 (DoS) 攻擊。 嚴重性：中

建議所有 Spring 生產環境升級到這些新版本。

專案頁面 | GitHub | 問題 | 文件