Spring Framework 发布针对 CVE-2024-38808 和 CVE-2024-38809 的修复

Spring Framework 发布了版本 5.3.39、6.0.23 和 6.1.12，其中包含针对 CVE-2024-38809、通过条件 HTTP 请求的 DoS 的修复。

5.3.39 版本包含针对 CVE-2024-38808（通过 SpEL 表达式的 DoS）的附加修复。

请注意，版本 5.3.39 已修复了两个 CVE。版本 5.3.38 于同一天早些时候发布，它包含针对 CVE-2024-38809 的修复，但不包含 CVE-2024-38808。

升级您的项目

使用 Spring Boot 2.7、3.0 或 3.1 的商业客户可以使用 Spring Boot 修补程序版本 2.7.21.1、3.0.16.1 和 3.1.12.1。版本现在可在 Spring 商业工件存储库中找到，并且可以通过 Spring Enterprise 订阅进行访问。

转自 Spring Framework Releases Fixes for CVE-2024-38808 and CVE-2024-38809