Bahar çerçevesinde ve bahar güvenlik kütüphanelerinde bir çift orta yüzlük güvenlik açıkları 15 Eylül 2025’te açıklandı.
Her iki kusur da Spring Security’nin yöntem güvenlik özellikleri tarafından kullanılan ek açıklama algılama mekanizmasını içerir ve parametreli türlere veya sınırsız jenerik süper sınıflara dayanan uygulamalarda yetkilendirme bypass’a yol açabilir.
Etkilenen sürümlerin kullanıcıları, yetkisiz erişimi önlemek için sabit sürümlere yükseltilmeli veya önerilen hafifletmeleri hemen uygulamalıdır.
Güvenlik Açığı Detayları
Spring Security’nin @EnablemethodSecurity özelliği, erişim kontrollerini uygulamak için @Preauthorize gibi yöntem düzeyinde ek açıklamaları algılamaya dayanır.
| CVE tanımlayıcısı | Şiddet | Yayın tarihi |
| CVE-2025-41248 | Orta | 15 Eylül 2025 |
| CVE-2025-41249 | Orta | 15 Eylül 2025 |
Bir üst sınıf veya arayüzün sınırsız jenerik kullandığı belirli tip hiyerarşilerde, çerçeve kalıtsal yöntemler üzerindeki ek açıklamaları doğru bir şekilde çözemeyebilir.
Saldırganlar, uygun izin kontrolleri olmadan güvenli yöntemler çağırarak, yetkilendirmeyi etkili bir şekilde atlayarak bunu kullanabilirler.
CVE-2025-41248 olarak izlenen ilk sayı, 6.4.0 ila 6.4.9 ve 6.5.0 ila 6.5.3 Spring Güvenlik sürümlerini etkiler. Özellikle parametreli türlerdeki yöntem güvenlik ek açıklamaları ile ilgilidir.
İkincisi, CVE-2025-41249, 5.3.0 ila 5.3.44, 6.1.0 ila 6.1.22 ve 6.2.0 ila 6.2.10 ile daha eski desteklenmemiş sürümleri yaymaktadır.
Her iki güvenlik açıkları da anonim bir araştırmacı tarafından sorumlu bir şekilde bildirildi ve eşzamanlı olarak yayınlandı.
Spring Security’nin jenerik süper sınıflar veya arayüzler üzerindeki yöntem düzeyinde ek açıklamalarını kullanan kuruluşlar, yetkisiz yöntem çağırma riski altındadır.
@EnablemethodSecurity kullanmayan veya jenerik türlere güvenlik ek açıklamalarını uygulamayan uygulamalar etkilenmez.
CVE-2025-41248’i ele almak için kullanıcıların Spring Security 6.4.10 veya 6.5.4’e yükseltilmesi gerekir. CVE-2025-41249 için sabit sürümler arasında Yay Çerçevesi 5.3.45, 6.1.23 (Ticari) ve 6.2.11 bulunmaktadır.
Yükseltmenin ötesinde başka bir azaltma adımı gerekmez. Hemen yükseltme mümkün değilse, geliştiriciler genel süper sınıflardan miras almak yerine tüm güvenli yöntemleri doğrudan hedef sınıflarında beyan ederek CVE-2025-41248 civarında çalışabilirler.
Geliştirme ekipleri, @enablemethodsecurity ve jenerik türlerde yöntem düzeyinde ek açıklamalar kullanımı için kod tabanlarını denetlemelidir.
Sürekli entegrasyon boru hatları, savunmasız yay sürümlerini işaretlemek için otomatik bağımlılık taramalarını içerebilir.
Önerilen sabit sürümlerin güncellenmesi doğru ek açıklama çözünürlüğünü geri yükleyecek ve güvenlik bypass’ı önleyecektir. Son olarak, ekipler kalıtsal yöntemlerin düzgün bir şekilde karşılandığından emin olmak için erişim kontrol test süitlerini gözden geçirmelidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.