我谨代表团队和所有贡献者，非常高兴地宣布 Spring Framework 6.1.6、6.0.19 和 5.3.34 现已可用。

• Spring Framework 6.1.6 包含 41 项修复和文档改进。此版本将随 Spring Boot 3.2.5 一起发布，后者将于下周发布。
• Spring Framework 6.0.19 包含 14 项修复和文档改进。此版本将随 Spring Boot 3.1.11 一起发布，后者将于下周发布。
• Spring Framework 5.3.34 包含 10 项修复和文档改进。

本次发布解决了“URL 解析与主机验证”（第 3 份报告）相关的 CVE-2024-22262。像原始的 CVE-2024-22243 这样流行项目上的重要 CVE，通常会引起安全社区的关注。在过去的几周里，我们收到了许多关于新的攻击变种的报告和有用的反馈。Spring 应用程序的安全性是我们的首要任务，我们将继续以透明和及时的方式处理漏洞。

我们正在 积极开发一种新的方法，将彻底重新审视实现。

升级您的项目

使用 Spring Boot 2.7 或 3.0 的商业客户可以使用 Spring Boot Hotfix 版本 2.7.20.3 和 3.0.15.3。这些版本现已在 Spring 商业制品库中提供，并且可以通过 Spring Enterprise Subscription 访问。

Spring Boot 3.1 和 3.2 的商业客户和 OSS 用户应立即手动升级到 Spring Framework 6.0.19 和 6.1.6，并在下周这些版本可用时升级到 Spring Boot 3.1.11 和 3.2.5。

项目页面 | GitHub | 问题 | 文档