Spring Framework 发布了版本 5.3.39、6.0.23 和 6.1.12,其中包含针对 CVE-2024-38809、通过条件 HTTP 请求的 DoS 的修复。
5.3.39 版本包含针对 CVE-2024-38808(通过 SpEL 表达式的 DoS)的附加修复。
请注意,版本 5.3.39 已修复了两个 CVE。版本 5.3.38 于同一天早些时候发布,它包含针对 CVE-2024-38809 的修复,但不包含 CVE-2024-38808。
升级您的项目
使用 Spring Boot 2.7、3.0 或 3.1 的商业客户可以使用 Spring Boot 修补程序版本 2.7.21.1、3.0.16.1 和 3.1.12.1。版本现在可在 Spring 商业工件存储库中找到,并且可以通过 Spring Enterprise 订阅进行访问。
转自 Spring Framework Releases Fixes for CVE-2024-38808 and CVE-2024-38809