領先一步
VMware 提供培訓和認證,助您加速進步。
瞭解更多CVE-2025-41248: Spring Security 授權繞過,適用於引數化型別上的方法安全註解
描述
Spring Security 註解檢測機制可能無法正確解析具有無界泛型的引數化超型別中的方法上的註解。當使用 @PreAuthorize 和其他方法安全註解時,這可能會導致授權繞過。
如果您的應用程式使用 Spring Security 的 @EnableMethodSecurity 功能,則可能會受到此影響。
如果您不使用 @EnableMethodSecurity,或者您不在泛型超類或泛型介面中的方法上使用安全註解,則不會受到此影響。
此 CVE 與 CVE-2025-41249 同時釋出。
受影響的 Spring 產品和版本
Spring Security
- 6.4.0 - 6.4.10
- 6.5.0 - 6.5.4
緩解措施
受影響版本的使用者應遵循 CVE-2025-41249 中的緩解步驟,並升級到相應的修復版本
| 受影響版本 | 修復版本 | 可用性 |
|---|---|---|
| 6.4.x | 6.4.11 | OSS |
| 6.5.x | 6.5.5 | OSS |
無需其他緩解措施。
如果您無法升級,則可以確保所有受保護的目標方法都在其目標類中宣告。
致謝
此漏洞由 Avgustin Marinov 發現並負責任地報告。
參考資料
歷史
- 2025-09-15: 初步漏洞報告發布。
- 2025-09-17: 更新了受影響版本和修復版本。
- 2025-09-18: 更新了致謝部分。
報告漏洞
要報告 Spring 組合專案中存在的安全漏洞,請參閱安全策略