VMware ha lanzado actualizaciones de seguridad para corregir una vulnerabilidad de alta severidad en Spring Security, un marco de desarrollo Java, que afecta la función BCryptPasswordEncoder.matches(CharSequence, String); bajo ciertas condiciones, esta vulnerabilidad podría permitir la omisión de mecanismos de autenticación en contraseñas que superen los 72 caracteres.
Productos Afectados
- versiones anteriores a la 5.7.16
- versiones anteriores a la 5.8.18
- 6.0., versiones anteriores a la 6.0.16
- 6.1., versiones anteriores a la 6.1.14
- 6.2., versiones anteriores a la 6.2.10
- 6.3., versiones anteriores a la 6.3.8
- 6.4., versiones anteriores a la 6.4.4
- Todas las versiones anteriores que ya no son compatibles
Impacto
La vulnerabilidad de severidad alta se identifican como:
CVE-2025-22228: Puntuación de CVSS 7.4 con severidad alta. Esta vulnerabilidad podría permitir la omisión de autenticación a través de la función BCryptPasswordEncoder.matches(CharSequence, String) en Spring Security. Esto puede resultar en un acceso no autorizado a sistemas y datos sensibles, particularmente en aplicaciones que manejan contraseñas de más de 72 caracteres.
Recomendaciones
Actualizar los productos vulnerables siguiendo las instrucciones del boletín de seguridad en la sección Referencias.
Referencias
- https://spring.io/security/cve-2025-22228
- https://www.cve.org/CVERecord?id=CVE-2025-22228