CRITICAL🇬🇧 English

CVE-2025-41243

Spring Cloud Gateway: modyfikacja właściwości środowiska przez niezabezpieczony aktuator

CVSS 10.0v3.1pub. 2025-09-16upd. 2026-04-15

Spring Cloud Gateway Server Webflux może być podatny na nieautoryzowaną modyfikację właściwości środowiska Spring (Spring Environment property modification). Podatność otrzymała maksymalny wynik CVSS 10.0, co oznacza krytyczne zagrożenie dla aplikacji spełniających określone warunki konfiguracyjne.

Pokaż oryginał (EN)

Spring Cloud Gateway Server Webflux may be vulnerable to Spring Environment property modification. An application should be considered vulnerable when all the following are true: * The application is using Spring Cloud Gateway Server Webflux (Spring Cloud Gateway Server WebMVC is not vulnerable). * Spring Boot actuator is a dependency. * The Spring Cloud Gateway Server Webflux actuator web endpoint is enabled via management.endpoints.web.exposure.include=gateway. * The actuator endpoints are available to attackers. * The actuator endpoints are unsecured.

🤖 Analiza AI
Jak działa

Atakujący może uzyskać dostęp do niezabezpieczonych endpointów Spring Boot Actuator, które zostały udostępnione publicznie poprzez konfigurację management.endpoints.web.exposure.include=gateway. Poprzez te endpointy możliwa jest modyfikacja właściwości środowiska Spring (CWE-94: code injection, CWE-917: expression language injection), co może prowadzić do wykonania złośliwego kodu lub zmiany zachowania aplikacji. Podatność dotyczy wyłącznie wariantu Webflux — wersja Spring Cloud Gateway Server WebMVC nie jest podatna.

Skutki

Atakujący bez uwierzytelnienia i bez interakcji użytkownika może zmodyfikować właściwości środowiska aplikacji, co w konsekwencji może doprowadzić do wykonania dowolnego kodu, ujawnienia poufnych danych lub pełnego przejęcia kontroli nad aplikacją.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://spring.io/security/cve-2025-41243). Jako natychmiastowe działanie ochronne należy: ograniczyć dostęp do endpointów Spring Boot Actuator (np. przez firewall lub mechanizmy uwierzytelniania), wyłączyć ekspozycję endpointu gateway jeśli nie jest wymagany, lub nie udostępniać endpointów aktuatora niezaufanym podmiotom.

Kogo dotyczy

Aplikacje korzystające ze Spring Cloud Gateway Server Webflux, w których Spring Boot Actuator jest zależnością, endpoint aktuatora gateway jest włączony (management.endpoints.web.exposure.include=gateway) oraz endpointy aktuatora są dostępne sieciowo i niezabezpieczone.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje