1. 漏洞背景
Spring Cloud Gateway旨在提供一种简单而有效的方法来路由到api,并向它们提供横切关注点,例如:安全性、监视/度量和弹性。
2. 漏洞详情
近期,深瞳漏洞实验室监测到一则威睿-Spring Cloud Gateway 组件存在参数注入漏洞的信息,漏洞编号:CVE-2025-41243,漏洞威胁等级:高危。
Spring Cloud Gateway 存在注入漏洞,攻击者可以通过访问系统中注册的@systemProperties bean,修改配置属性,从而关闭限制性模式。绕过限制后,攻击者能够访问@environment 等敏感 bean,造成应用程序配置信息泄露,甚至实现远程代码执行。
3. 漏洞影响
目前受影响的威睿-Spring Cloud Gateway 版本:
4.3.0 ≤ Spring Cloud Gateway < 4.3.1
4.2.0 ≤ Spring Cloud Gateway < 4.2.5
4.1.0 ≤ Spring Cloud Gateway < 4.1.11
4.0.0 ≤ Spring Cloud Gateway < 4.0.11
3.1.0 ≤ Spring Cloud Gateway < 3.1.11
4. 处置建议
官方修复建议:
官方已发布最新版本修复该漏洞,建议受影响用户将 Spring CloudGateway 更新到最新版本。
参考链接:https://spring.io/security/cve-2025-41243