Han surgido dos vulnerabilidades críticas, CVE-2025-41248 y CVE-2025-41249, en el marco de seguridad de primavera y primavera que podrían permitir a los atacantes evitar los controles de autorización en aplicaciones empresariales.
Estas fallas surgen cuando se utilizan la función @enablemethodsecurity de Spring Security junto con anotaciones de nivel de método como @PreAuthorize y @Postauthorize.
En las aplicaciones donde las interfaces de servicio o las clases de base abstractas emplean genéricos ilimitados, el mecanismo de detección de anotación puede dejar de localizar anotaciones de seguridad en métodos anulados, lo que permite el acceso no autorizado a los puntos finales protegidos.
Control de llave
1. Spring Security 6.4.x/6.5.x ignora las anotaciones de nivel de método, habilitando el bypass.
2. Marco de primavera 5.3.x/6.1.x/6.2.x no puede detectar anotaciones.
3. Actualice a versiones fijas o anotaciones de redeclare en clases de concreto.
Tanto el bypass de autorización como los fallas de detección de anotaciones se clasifican como severidad media e impactan una amplia gama de versiones de seguridad de primavera y marco de primavera que abarcan los trenes de liberación 5.x a 6.x.
Autorización de vulnerabilidad de derivación (CVE-2025-41248)
CVE-2025-41248 se dirige a las versiones de seguridad de resorte 6.4.0 a 6.4.9 y 6.5.0 a 6.5.3.
Cuando una superclase parametrizada define una firma de método asegurado, y una subclase no puede redecar la anotación relevante, el resolutador de metadatos del marco no atraviesa la jerarquía de tipo genérico correctamente.
Los atacantes pueden explotar esta brecha lógica invocando operaciones seguras definidas solo en una interfaz genérica, evitando las verificaciones de autorización que dependen de @Preauthorize (“Hasrole (‘Admin’)”) o expresiones SPEL similares.
La vulnerabilidad rendimientos A CVSS 3.1 Puntuación base de 6.5 (AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: N/A: N).
Vulnerabilidad de detección de anotaciones (CVE-2025-41249)
CVE-2025-41249 afecta a los módulos de núcleo del marco de Spring en las versiones 5.3.0 a 5.3.44, 6.1.0 a 6.1.22 y 6.2.0 a 6.2.10.
En este caso, la falla de detección de anotación impide el reconocimiento de cualquier anotación del método utilizada para la autorización o auditoría cuando se define en una clase base genérica.
Sin los metadatos de anotación, la seguridad de primavera no puede hacer cumplir las limitaciones de seguridad a nivel de método.
Ambas vulnerabilidades provenir de Manejo inadecuado de genéricos ilimitados durante la introspección de anotación, lo que hace que el tiempo de ejecución ignore los metadatos de seguridad y trate los métodos de servicio sensibles como si estuvieran sin protección.
CVETITLECVSS 3.1 ScoreSeverityCVE-2025-41248Spring Autorización de seguridad de seguridad para anotaciones de seguridad de métodos en tipos parametrizados 6.5MediumcVe-2025-41249Spring Marco de detección de anotaciones de detección de anotaciones en superclaseses 6.5Medium Medium
Mitigaciones
Los mantenedores de primavera han liberado versiones fijas para todos los módulos afectados. Para Spring Security, los usuarios deben actualizarse a 6.4.10 o 6.5.4.
Para Spring Framework, las actualizaciones recomendadas son 5.3.45, 6.1.23 y 6.2.11. Los detalles completos de la mitigación están disponibles en los avisos de seguridad de primavera y la alimentación RSS.
Los equipos que no pueden actualizar de inmediato pueden imponer una solución temporal al declarar todos los métodos asegurados directamente en la clase concreta en lugar de depender de anotaciones hereditarias de superclase genérico.
Asegurar el uso constante de @PreAuthorize, @Postauthorize y otras anotaciones de seguridad de métodos en cada clase de implementación evitará el bypass.
Se insta a los equipos de desarrollo a revisar sus interfaces de servicio para el uso de @enablemethodsecurity junto con los genéricos.
Las herramientas de análisis estático y los scripts de escaneo de anotaciones personalizados deben actualizarse para detectar métodos anotados correctamente a través de las jerarquías de tipo.
Los equipos de seguridad deben priorizar estas actualizaciones en tuberías de CI/CD para evitar la exposición inadvertida de API protegidas. La validación continua de la seguridad a nivel de método, combinada con revisiones de código centradas en patrones de servicio genéricos, fortalecerá la aplicación de la autorización y la protección contra defectos similares.
¡Webinar gratuito en vivo en nuevas tácticas de malware de nuestros analistas! Aprenda técnicas de detección avanzada -> Regístrese gratis
