Se ha descubierto una vulnerabilidad de severidad alta en productos Spring Cloud Gateway. Un actor malicioso podría eludir las medidas de seguridad de los sistemas afectados debido al uso involuntario de configuraciones SSL predeterminadas.
Productos afectados
- Spring Cloud Gateway: versión 4.2.0.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026-22750: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de omisión de restricciones de seguridad. Al configurar paquetes SSL mediante la propiedad spring.ssl.bundle, el sistema ignora silenciosamente dicha configuración y utiliza los valores predeterminados en su lugar. Un actor malicioso remoto podría aprovechar esta inconsistencia para evadir las políticas de seguridad de red esperadas en las comunicaciones cifradas.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias