VMware Tanzu旗下Spring团队近日发布了两项漏洞修复方案,分别影响Spring Cloud Gateway和Spring Framework。漏洞可能导致攻击者获取敏感环境变量和系统属性,另一处漏洞则允许未经授权的WebSocket消息注入。
这两项漏洞编号分别为CVE-2025-41253和CVE-2025-41254,影响范围涵盖多个Spring开源版本及商业版本。
SpEL表达式注入漏洞(CVE-2025-41253)
首个漏洞CVE-2025-41253影响Spring Cloud Gateway Server Webflux(不包括WebMVC),其根源在于应用路由中错误使用了Spring表达式语言(SpEL)。
根据Spring团队说明,同时满足以下所有条件的应用将存在风险:
- 使用Spring Cloud Gateway Server Webflux
- 管理员或不受信任的第三方能够使用SpEL表达式定义路由
- 执行器端点(management.endpoints.web.exposure.include=gateway)处于启用状态且未实施安全防护
该漏洞配置可能导致攻击者读取环境变量、系统属性或其他敏感数据,包括从应用运行时环境中泄露身份验证令牌、API密钥或数据库凭证。
受影响版本包括:
- 4.3.0 -- 4.3.x
- 4.2.0 -- 4.2.x
- 4.1.0 -- 4.1.x
- 4.0.0 -- 4.0.x
- 3.1.0 -- 3.1.x
- 更早的未维护版本同样存在风险
官方已在以下版本中发布修复:
- 4.3.2(开源版)
- 4.2.6(开源版)
- 4.1.12(商业版)
- 3.1.12(商业版)
对于无法立即升级的用户,Spring建议采取临时措施:"从management.endpoints.web.exposure.include属性中移除'gateway',或对执行器端点实施安全防护"。此举可防止攻击者访问可能被滥用于远程SpEL执行的敏感执行器端点。
STOMP WebSocket CSRF绕过漏洞(CVE-2025-41254)
第二个漏洞CVE-2025-41254影响Spring Framework的STOMP over WebSocket功能,可能使攻击者绕过跨站请求伪造(CSRF)防护发送未授权消息。
安全公告指出:"使用STOMP over WebSocket的应用可能面临安全绕过风险,导致攻击者能够发送未授权消息"。该漏洞对依赖Spring WebSocket实现客户端-服务器通信的实时应用构成威胁,包括在线聊天系统、金融仪表板和物联网控制面板等。
受影响版本包括:
- 6.2.0 -- 6.2.11
- 6.1.0 -- 6.1.23
- 6.0.x -- 6.0.29
- 5.3.0 -- 5.3.45
修复版本如下:
- 6.2.12(开源版)
- 6.1.24(商业版)
- 5.3.46(商业版)
较早的未维护版本仍然存在风险,需手动缓解或升级至受支持版本。