领先一步
VMware 提供培训和认证,助您加速进步。
了解更多CVE-2025-41248: Spring Security 授权绕过,适用于参数化类型上的方法安全注解
描述
Spring Security 注解检测机制可能无法正确解析具有无界泛型的参数化超类型中的方法上的注解。当使用 @PreAuthorize 和其他方法安全注解时,这可能会导致授权绕过。
如果您的应用程序使用 Spring Security 的 @EnableMethodSecurity 功能,则可能会受到此影响。
如果您不使用 @EnableMethodSecurity,或者您不在泛型超类或泛型接口中的方法上使用安全注解,则不会受到此影响。
此 CVE 与 CVE-2025-41249 同时发布。
受影响的 Spring 产品和版本
Spring Security
- 6.4.0 - 6.4.10
- 6.5.0 - 6.5.4
缓解措施
受影响版本的用户应遵循 CVE-2025-41249 中的缓解步骤,并升级到相应的修复版本
| 受影响版本 | 修复版本 | 可用性 |
|---|---|---|
| 6.4.x | 6.4.11 | OSS |
| 6.5.x | 6.5.5 | OSS |
无需其他缓解措施。
如果您无法升级,则可以确保所有受保护的目标方法都在其目标类中声明。
致谢
此漏洞由 Avgustin Marinov 发现并负责任地报告。
参考资料
历史
- 2025-09-15: 初步漏洞报告发布。
- 2025-09-17: 更新了受影响版本和修复版本。
- 2025-09-18: 更新了致谢部分。
报告漏洞
要报告 Spring 组合项目中存在的安全漏洞,请参阅安全策略