Se ha descubierto una vulnerabilidad de severidad alta en productos Spring. Un actor malicioso podría exponer variables de entorno y propiedades del sistema, accediendo a información sensible.
Productos afectados
- Spring Cloud Gateway Server Webflux: versiones 4.3.0 a 4.3.1, 4.2.0 a 4.2.5, 4.1.0 a 4.1.11, 4.0.x (todas), 3.1.0 a 3.1.11, y versiones fuera de soporte.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-41253: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de inyección de expresiones en Spring Expression Language (SpEL). Un actor malicioso podría exponer variables de entorno y propiedades del sistema que contienen credenciales, claves API o tokens de autenticación mediante la creación de rutas que utilizan expresiones SpEL maliciosas a través de puntos finales del actuador sin protección.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante. Para las versiones fuera de soporte, migrar a versiones soportadas y aplicar controles compensatorios mientras se completa la migración.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-41253
- https://spring.io/security/cve-2025-41253