Spring Framework выпустил версии 7.0.8 и 6.2.19. Эти обновления устраняют значительное количество общих уязвимостей и подверженностей (CVE). Уязвимости охватывают различные модули и функциональные возможности фреймворка. Несколько CVE связаны с атаками типа "отказ в обслуживании" (DoS), в том числе на многокомпонентные запросы, версионированные ресурсы, AntPathMatcher и целочисленные переполнения в выражениях SpEL. Также устраняется раскрытие информации, в частности, касающееся кэширования статических ресурсов. Фиксация сеанса и предсказуемые идентификаторы сеанса в модуле WebSocket покрываются отдельными CVE. Также исправлены уязвимости обхода пути через версионированные статические ресурсы. Уязвимости межсайтового скриптинга (XSS) были устранены в отношении JavaScriptUtils и тегов форм JSP. Обновления также исправляют проблемы обхода фильтров безопасности в WebFlux Kotlin Router DSL. Уязвимости открытого перенаправления и произвольный вызов методов в выражениях SpEL являются одними из других устраненных проблем безопасности. Также смягчены проблемы подмены многокомпонентных запросов и подделки запросов на стороне сервера. Наконец, исправлена небезопасная десериализация через преобразователи Jackson JMS. Spring Framework 6.2.19, вероятно, является последним релизом своего поколения, и пользователям рекомендуется обновиться до 7.0.x.