• 网站首页
  •   >   威胁情报
  •   >   正文
  • 威胁情报

    Spring Cloud Gateway SpEL表达式注入漏洞CVE-2025-41243

    发布日期:2025-10-09    浏览次数:

    1. 漏洞背景

    Spring Cloud Gateway旨在提供一种简单而有效的方法来路由到api,并向它们提供横切关注点,例如:安全性、监视/度量和弹性。

    2. 漏洞详情

    近期,深瞳漏洞实验室监测到一则威睿-Spring Cloud Gateway 组件存在参数注入漏洞的信息,漏洞编号:CVE-2025-41243,漏洞威胁等级:高危。

    Spring Cloud Gateway 存在注入漏洞,攻击者可以通过访问系统中注册的@systemProperties bean,修改配置属性,从而关闭限制性模式。绕过限制后,攻击者能够访问@environment 等敏感 bean,造成应用程序配置信息泄露,甚至实现远程代码执行。

    3. 漏洞影响

    目前受影响的威睿-Spring Cloud Gateway 版本:

    4.3.0 Spring Cloud Gateway < 4.3.1

    4.2.0 Spring Cloud Gateway < 4.2.5

    4.1.0 Spring Cloud Gateway < 4.1.11

    4.0.0 Spring Cloud Gateway < 4.0.11

    3.1.0 Spring Cloud Gateway < 3.1.11

    4. 处置建议

    官方修复建议

    官方已发布最新版本修复该漏洞,建议受影响用户将 Spring CloudGateway 更新到最新版本。

    参考链接:https://spring.io/security/cve-2025-41243


    一审:信息网络中心

    二审:信息网络中心

    三审:信息网络中心

    地址: 成都市外东成洛大道2025号 版权所有©成都大学 蜀ICP备05006454号电话:028-84616931  邮编:610106