Spring Framework はバージョン 7.0.8 および 6.2.19 をリリースしました。これらのアップデートは、多数の共通脆弱性識別子 (CVE) に対応しています。脆弱性は、フレームワーク内のさまざまなモジュールおよび機能にまたがっています。いくつかの CVE は、マルチパートリクエスト、バージョン管理されたリソース、AntPathMatcher、および SpEL 式における整数オーバーフローを標的とするものを含む、サービス拒否 (DoS) 攻撃に関連しています。静的リソースキャッシュに関する情報漏洩も対処されています。 WebSocket モジュールにおけるセッション固定および予測可能なセッション ID は、特定の CVE によってカバーされています。バージョン管理された静的リソースを介したパス・トラバーサル脆弱性もパッチ適用されています。クロスサイトスクリプティング (XSS) 脆弱性は、JavaScriptUtils および JSP フォームタグに関連して修正されました。アップデートは、WebFlux Kotlin Router DSL におけるセキュリティフィルターバイパスの問題も修正しています。 SpEL 式におけるオープンリダイレクト脆弱性および任意のメソッド呼び出しは、その他に対処されたセキュリティ上の懸念事項に含まれます。マルチパートリクエストスモーグリングおよびサーバーサイドリクエストフォージェリも軽減されています。最後に、Jackson JMS コンバーターを介した安全でないデシリアライゼーションがパッチ適用されました。Spring Framework 6.2.19 は、その世代の最終リリースとなる可能性が高く、ユーザーは 7.0.x へのアップグレードが推奨されます。