Spring Cloud Gateway WebFlux现cvss10分高危漏洞,可导致环境属性篡改

漏洞概述

Spring官方披露了Spring Cloud Gateway Server WebFlux组件中存在一个高危漏洞(编号CVE-2025-41243),该漏洞在特定配置下允许攻击者篡改Spring环境属性。该漏洞已获得CVSS 10.0的最高严重性评级。

根据安全公告,该漏洞被描述为"通过Spring Cloud Gateway Server WebFlux实现的Spring表达式语言属性篡改"。当Actuator端点未实施适当安全控制时,就会触发此漏洞。

受影响条件

应用系统在同时满足以下所有条件时将存在风险:

  • 使用Spring Cloud Gateway Server WebFlux组件(WebMVC版本不受影响)
  • 包含Spring Boot Actuator依赖项
  • 通过management.endpoints.web.exposure.include=gateway显式启用Actuator Web端点
  • Actuator端点处于可访问且未受保护状态

这一系列条件将允许攻击者操纵敏感的Spring环境属性,可能导致应用程序行为被恶意篡改。

影响范围

Spring Cloud Gateway作为响应式API网关被广泛部署在微服务架构中,通常位于企业网络边界。由于Actuator端点常用于监控和运维洞察,其不安全暴露可能使攻击者获得直接操纵应用运行时属性的能力。

受影响版本包括:

  • 4.3.0 -- 4.3.x
  • 4.2.0 -- 4.2.x
  • 4.1.0 -- 4.1.x
  • 4.0.0 -- 4.0.x
  • 3.1.0 -- 3.1.x
  • 其他已停止支持的旧版本同样存在风险

修复建议

Pivotal公司建议所有受影响用户立即升级至以下已修复版本:

  • 4.3.x → 4.3.1 OSS
  • 4.2.x → 4.2.5 OSS
  • 4.1.x → 4.1.11 Enterprise
  • 3.1.x → 3.1.11 Enterprise

对于无法立即升级的用户,可采取以下临时缓解措施:

  • management.endpoints.web.exposure.include属性中移除gateway配置
  • 通过身份验证和访问控制机制保护Actuator端点
相关推荐
lypzcgf7 小时前
Coze源码分析-资源库-编辑插件-后端源码-安全与错误处理
安全·插件·coze·coze源码分析·智能体平台·ai应用平台·agent平台
粟悟饭&龟波功8 小时前
【网络安全】一、入门篇:读懂 HTTP 协议
安全·web安全·http
骥龙8 小时前
粤港澳全运会网络安全防御体系深度解析:威胁态势与实战防护
网络·安全·web安全
安娜的信息安全说10 小时前
企业身份认证系统选型:Azure AD 与 Keycloak 功能详解
安全·microsoft·keycloak·azure ad
安当加密11 小时前
SLA操作系统双因素认证实现Windows远程桌面OTP双因子安全登录—从零搭建企业级RDP安全加固体系
windows·安全
你的人类朋友13 小时前
HTTP请求结合HMAC增加安全性
前端·后端·安全
Dest1ny-安全15 小时前
2025年,今后需要进步的方面
安全
BenSmith15 小时前
一次入门向v8漏洞复现
安全
ZHOU_WUYI16 小时前
构建AI安全防线:基于越狱检测的智能客服守护系统
人工智能·安全
萧鼎17 小时前
深入理解 Python `ssl` 库:安全通信的基石
python·安全·ssl