Se han descubierto dos vulnerabilidades de severidad alta en productos Spring. Un actor malicioso podría lograr la evasión de mecanismos de seguridad.
Productos afectados
- Spring Security:
- Versiones desde 6.4.0 hasta 6.4.9.
- Versiones desde 6.5.0 hasta 6.5.3.
- Spring Framework:
- Versiones desde 6.2.0 hasta 6.2.10.
- Versiones desde 6.1.0 hasta 6.1.22.
- Versiones desde 5.3.0 hasta 5.3.44.
- Versiones fuera de soporte también están afectadas.
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-41248: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad presente únicamente cuando la aplicación utiliza la funcionalidad @EnableMethodSecurity. Un actor malicioso podría evadir el mecanismo de autenticación. Afecta a Spring Security.
CVE-2025-41249: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad presente únicamente cuando la aplicación utiliza la funcionalidad @EnableMethodSecurity. Un actor malicioso podría evadir el mecanismo de autenticación. Afecta a Spring Framework.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante. Para las versiones fuera de soporte, migrar a versiones soportadas y aplicar controles compensatorios mientras se completa la migración.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-41248
- https://www.cve.org/CVERecord?id=CVE-2025-41249
- https://spring.io/security/cve-2025-41248
- https://spring.io/security/cve-2025-41249