Spring Security 3.2.2 (变更日志) 和 3.1.6 (变更日志) 已发布，并可在 Maven Central 获取。

其中最值得关注的是，这两个版本解决了 CVE-2014-0097 漏洞，该漏洞允许恶意用户在以下所有条件都为真的情况下伪装成空密码的用户：

• 应用程序正在使用 ActiveDirectoryLdapAuthenticator
• 目录允许匿名绑定（不推荐）

注意：这不会影响 LdapAuthenticationProvider 或 <ldap-authentication-provider> 的用户。

有关发行版的完整详细信息，请参阅前面提到的变更日志。