[TLP:CLEAR] VMware opravuje zranitelnosti ve Spring Security a Spring Framework
VMware opravuje 2 zranitelnosti v produktech Spring Security [1] a Spring Framework [2]. Produkty a jejich opravy: Spring Security - 6.4.6 [1] Spring Framework - 6.2.7, 6.1.20, 6.0.28, 5.3.43 [2]
Neautentizovanému vzdálenému útočníkovi je kvůli chybnému zpracování bezpečnostních anotací na privátních metodách při použití '@EnableMethodSecurity(mode=ASPECTJ)' a modulu 'spring-security-aspects' umožněno obejít autorizaci a volat tyto metody bez oprávnění [1].
Zranitelnost se nachází v produktu Spring Security ve verzích >=6.4.0 AND <=6.4.5.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Více informací:
- CVE-2025-41232 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-693: Protection Mechanism Failure at cwe.mitre.org
Zranitelnost byla veřejně oznámena 19. 5. 2025.
Autentizovanému vzdálenému útočníkovi je kvůli neúplné ochraně při kontrole 'disallowedFields', i přes zavedení převodu na malá písmena nezávislého na lokalitě, umožněno obejít tuto kontrolu a potenciálně manipulovat s hodnotami, které měly být zakázány [2].
Zranitelnost se nachází v produktu Spring Framework ve verzích (>=6.2.0 AND <=6.2.6) OR (>=6.1.0 AND <=6.1.19) OR (>=6.0.0 AND <=6.0.27) OR (>=5.3.0 AND <=5.3.42).
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N
Více informací:
- CVE-2025-22233 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 16. 5. 2025.
Za CESNET-CERTS Michaela Jarošová dne 21. 5. 2025.
