我很高兴代表团队和所有贡献者宣布 Spring Framework 5.3.20 和 5.2.22 现已发布。

Spring Framework 5.3.20 包括 14 个修复和改进。Spring Framework 5.2.22 包括 2 个反向移植。

此外，这些版本包括对 2 个漏洞的修复

• CVE-2022-22970 “Spring Framework 通过将数据绑定到 MultipartFile 或 Servlet Part 导致 DoS” 在 Spring MVC 或 Spring WebFlux 应用程序中处理文件上传并依赖数据绑定将 MultipartFile 或 javax.servlet.Part 设置为模型对象中的字段，可能导致拒绝服务 (DoS) 攻击。 严重性：中

• CVE-2022-22971 “Spring Framework 通过 WebSocket 上的 STOMP 导致 DoS”
  具有 STOMP over WebSocket 端点的 Spring 应用程序中，经过身份验证的用户可能发起拒绝服务 (DoS) 攻击。 严重性：中

建议所有 Spring 生产场景升级到这些新版本。

项目页面 | GitHub | 问题 | 文档