Spring Framework 发布了 6.1.13 版本,其中包含了 CVE-2024-38816 的修复程序:功能性 Web 框架中的路径遍历漏洞。
请注意,如前所述,对 Spring Framework 5.3.x 和 6.0.x 代的开源支持已于上个月结束。因此,此修复已应用于现已推出的 5.3.40 和 6.0.24 商业版本。
如果您不是商业客户,请考虑尽早升级到开源支持的版本。
升级您的项目
使用 Spring Boot 2.7、3.0 或 3.1 的商业客户可以使用 Spring Boot 修补程序版本 2.7.22.1、3.0.17.1 和 3.1.13.1。这些版本现在在 Spring 商业工件存储库上可用,并且可以通过 Spring Enterprise Subscription 访问。