Spring两大漏洞可导致泄露敏感信息及安全防护绕过(CVE-2025-41253/41254)
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
VMware Tanzu的Spring团队发布了两个漏洞修复方案,涉及Spring Cloud Gateway和Spring Framework。CVE-2025-41253可能导致敏感数据泄露,CVE-2025-41254允许攻击者绕过CSRF保护。受影响版本需及时升级或采取临时安全措施。
🎯
关键要点
- VMware Tanzu的Spring团队发布了两项漏洞修复方案,涉及Spring Cloud Gateway和Spring Framework。
- CVE-2025-41253漏洞可能导致敏感数据泄露,影响Spring Cloud Gateway Server Webflux。
- CVE-2025-41254漏洞允许攻击者绕过CSRF保护,影响Spring Framework的STOMP over WebSocket功能。
- 受影响版本包括多个Spring开源版本及商业版本,建议用户及时升级或采取临时安全措施。
- 对于CVE-2025-41253,建议移除'gateway'或实施安全防护以防止敏感数据泄露。
- CVE-2025-41254对实时应用构成威胁,包括在线聊天系统和金融仪表板等。
- 修复版本已发布,用户需手动缓解或升级至受支持版本。
❓
延伸问答
CVE-2025-41253漏洞的影响是什么?
CVE-2025-41253漏洞可能导致敏感数据泄露,包括环境变量和系统属性。
如何防止CVE-2025-41253漏洞带来的风险?
建议移除'gateway'或对执行器端点实施安全防护,以防止敏感数据泄露。
CVE-2025-41254漏洞的主要风险是什么?
CVE-2025-41254漏洞允许攻击者绕过CSRF保护,可能导致未授权消息的发送。
哪些版本受到CVE-2025-41254漏洞的影响?
受影响版本包括6.2.0 – 6.2.11、6.1.0 – 6.1.23、6.0.x – 6.0.29和5.3.x – 5.3.44。
Spring团队对这两个漏洞发布了哪些修复版本?
修复版本包括4.3.2、4.2.6、4.1.12、3.1.12(CVE-2025-41253)和6.2.12、6.1.24、5.3.46(CVE-2025-41254)。
CVE-2025-41253和CVE-2025-41254的根本原因是什么?
CVE-2025-41253源于错误使用Spring表达式语言,而CVE-2025-41254则涉及WebSocket消息注入的安全漏洞。
🏷️
标签
➡️
