Bahar çerçevesi ve güvenlik açıkları, yetkilendirme bypass ve ek açıklama algılama kusuru

Saldırganların kurumsal uygulamalarda yetkilendirme kontrollerini atlamasına izin verebilecek bahar güvenliği ve bahar çerçevesinde, CVE-2025-41248 ve CVE-2025-41249, iki kritik güvenlik açıkları ortaya çıkmıştır.

Bu kusurlar, @preauthorize ve @postauthorize gibi yöntem düzeyinde ek açıklamalarla birlikte Spring Security’nin @enablemethodsecurity özelliğini kullanırken ortaya çıkar.

Servis arayüzlerinin veya soyut baz sınıflarının sınırsız jenerikler kullandığı uygulamalarda, ek açıklama algılama mekanizması, geçersiz kılınan yöntemler üzerindeki güvenlik ek açıklamalarını bulamayabilir ve korunan uç noktalara yetkisiz erişimi sağlayabilir.

Key Takeaways
1. Spring Security 6.4.x/6.5.x ignores method-level annotations, enabling bypass.
2. Spring Framework 5.3.x/6.1.x/6.2.x fails to detect annotations.
3. Upgrade to fixed versions or redeclare annotations on concrete classes.

Hem yetkilendirme bypass hem de ek açıklama algılama kusurları orta şiddet olarak sınıflandırılır ve 5.x ila 6.x sürüm trenlerini kapsayan çok çeşitli yay güvenliği ve yay çerçevesi versiyonlarını etkiler.

Yetkilendirme Bypass Güvenlik Açığı (CVE-2025-41248)

CVE-2025-41248, Bahar Güvenliği Sürümleri 6.4.0 ila 6.4.9 ve 6.5.0 ila 6.5.3’ü hedefler.

Parametrelenmiş bir üst sınıf, güvenli bir yöntem imzasını tanımladığında ve bir alt sınıfın ilgili ek açıklamayı yeniden ayarlayamadığında, çerçevenin meta veri çözücü jenerik tip hiyerarşisini doğru bir şekilde geçmez.

Saldırganlar, yalnızca genel bir arayüzde tanımlanan güvenli işlemleri çağırarak, @PreaThorize (“HasRole (‘Admin’)”) veya benzeri SPEL ifadelerine dayanan yetkilendirme kontrollerini atlayarak bu mantık boşluğunu kullanabilir.

Güvenlik açığı 6.5 CVSS 3.1 baz skoru verir (AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: N/A: N).

Ek açıklama algılama güvenlik açığı (CVE-2025-41249)

CVE-2025-41249, 5.3.0 ila 5.3.44, 6.1.0 ila 6.1.22 ve 6.2.0 ila 6.2.10 sürümlerindeki yay çerçevesi çekirdek modüllerini etkiler.

Bu durumda, ek açıklama algılama kusuru, genel bir temel sınıfta tanımlandığında yetkilendirme veya denetim için kullanılan herhangi bir yöntem ek açıklamanın tanınmasını engeller.

Ek açıklama meta verileri olmadan, bahar güvenliği yöntem düzeyinde güvenlik kısıtlamalarını uygulayamaz.

Her iki güvenlik açığı, ek açıklama içgözlemi sırasında sınırsız jeneriklerin uygunsuz ele alınmasından kaynaklanmaktadır, bu da çalışma zamanının güvenlik meta verilerini görmezden gelmesine ve hassas hizmet yöntemlerini korumasızmış gibi ele almasına neden olur.

Hafifletme

Bahar bakımcılar, etkilenen tüm modüller için sabit sürümler yayınladı. Bahar güvenliği için kullanıcılar 6.4.10 veya 6.5.4’e yükseltilmelidir.

Bahar çerçevesi için önerilen yükseltmeler 5.3.45, 6.1.23 ve 6.2.11’dir. Tam hafifletme detayları Bahar Güvenlik Tavsiyeleri ve RSS yeminde mevcuttur.

Hemen yükseltilemeyen ekipler, jenerik süper sınıflardan kalıtsal ek açıklamalara güvenmek yerine, tüm güvenli yöntemleri doğrudan somut sınıfta beyan ederek geçici bir çözüm uygulayabilir.

@PreaThorize, @Postauthorize ve diğer yöntem güvenlik ek açıklamalarının tutarlı kullanımını sağlamak bypass’ı önleyecektir.

Geliştirme ekipleri, @EnablemethodSecurity’nin kullanımı için servis arayüzlerini jeneriklerle birlikte gözden geçirmeleri istenir.

Statik analiz araçları ve özel ek açıklama tarama komut dosyaları, tip hiyerarşileri arasında açıklamalı yöntemleri doğru bir şekilde algılamak için güncellenmelidir.

Güvenlik ekipleri, korunan API’lerin yanlışlıkla maruz kalmasını önlemek için CI/CD boru hatlarındaki bu yükseltmelere öncelik vermelidir. Yöntem düzeyinde güvenliğin sürekli validasyonu, genel hizmet kalıplarına odaklanan kod incelemeleriyle birleştiğinde, yetkilendirme uygulanmasını güçlendirecek ve benzer kusurlara karşı koruyacaktır.

Free live webinar on new malware tactics from our analysts! Learn advanced detection techniques -> Register for Free