Spring Framework 发布了 6.1.14 版本，其中包含以下两个漏洞的修复：

• CVE-2024-38819: 函数式 Web 框架中的路径遍历漏洞（第二次报告）
• CVE-2024-38820: Spring Framework DataBinder 区分大小写匹配异常

请注意，Spring Framework 5.3.x 和 6.0.x 版本的开源支持已于去年 8 月结束，如先前宣布。此修复已应用于 5.3.41 和 6.0.25 商业版本，现已可用。

如果您不是商业客户，请考虑尽快升级到开源支持的版本。

升级您的项目

使用 Spring Boot 2.7、3.0 或 3.1 的商业客户可以使用 Spring Boot Hotfix 版本 2.7.22.2、3.0.17.2 和 3.1.13.2。这些版本现在可以在 Spring 商业构件仓库上找到，并且可以使用 Spring 企业订阅 进行访问。