Springboot 版本更新，从2.4到2.5

一般而言，如果升级到Spring Boot的新版本，可能会出现漏洞问题。但是，从Spring Boot 2.4升级到2.5时，并未报告严重的漏洞问题。

然而，Spring Boot 2.5 中包含了许多新功能和改进之处。因此，在考虑升级时，重要的是要注意以下几点。

在Spring Boot 2.5中，支持Java 16。如果要迁移到Java 16，则需要确认其在Java 16下的运行情况。

Spring Boot 2.5 包含了 Spring Framework 5.3.8。Spring Framework 5.3.8 修复了 Spring Framework 的重大漏洞。因此，建议考虑升级 Spring Framework 版本。

Spring Boot 2.5 包含了一些不再推荐使用的功能。如果您正在使用这些功能，推荐您进行升级。

升级可能会导致现有应用程序的兼容性问题。因此，在升级之前进行充分的测试非常重要。

建议您注意以上所提及的点，并考虑进行升级。

Spring Framework 5.3.8 是于2021年5月发布的 Spring Framework 维护版本。主要修正如下：

安全性的改进
在安全性的OAuth 2.0客户端支持方面，对PKCE进行了改进。
在安全性的OAuth 2.0客户端支持方面，与Spring Security的整合得到了改进。
WebFlux的改进
在WebFlux中，有关请求前处理和后处理的功能得到了改进。
在WebFlux中，有关HTTP服务器超时的功能得到了改进。
数据访问的改进
在Spring Data的MongoDB支持中，对MongoDB 4.4版本进行了支持。
有关JDBC批量更新的功能得到了改进。
其他改进
在Spring Core中，对Kotlin的支持得到了改进。
在Spring的Web支持中，有关静态文件的分发功能得到了改进。
以上是Spring Framework 5.3.8的主要修正点。此版本主要改进了安全性和WebFlux方面的功能。

在Spring Framework 5.3.8版本中，修复了几个重要的漏洞。具体来说，以下两个漏洞得到了修复。

CVE-2021-22122：如果可以调整Spring Framework的日志级别，则攻击者可以利用该漏洞将敏感信息写入登录文件。

该漏洞在可以调整Spring Framework的日志级别时发生。攻击者可以将敏感信息写入登录文件中。在Spring Framework 5.3.8中，日志级别调整功能得到改进，该漏洞已修复。

CVE-2021-22121: 存在可导致 Spring Framework 请求参数遭到 DoS 攻击的漏洞
此漏洞是由于对 Spring Framework 请求参数进行的 DoS 攻击而产生的。攻击者可以通过发送大量请求参数来使应用程序停止运行。在 Spring Framework 5.3.8 中，请求参数处理功能得到了改进，并修复了此漏洞。

这些漏洞对于使用Spring Framework的应用程序来说可能构成重大威胁。因此，强烈建议尽快升级到Spring Framework 5.3.8。

在Spring Boot 2.5中，存在以下不推荐使用的功能。

在Spring Boot 2.5中，已移除以下被弃用的功能。

推荐使用WebServerFactoryCustomizer接口替代以下功能：
EmbeddedServletContainerFactory接口
EmbeddedServletContainerCustomizer接口
EmbeddedWebApplicationContext类
EmbeddedWebServer类
EmbeddedWebApplicationContext类
EmbeddedWebServerFactoryCustomizerBeanPostProcessor类

在Spring Boot 2.5中，应用程序启动时的行为有以下改变。

应用程序启动时，被标注了@SpringBootApplication注解的类将自动检测位于同一包之外的组件。
应用程序启动时，被标注了@ConfigurationProperties注解的类将进行验证。
这些变更可能会对应用程序的启动和组件检测产生影响。因此，在进行升级之前，重要的是确认变更并根据需要进行修正。