CVE-2025-41253 in Spring Cloud Gateway Server Webflux
Résumé
par VulDB • 27/05/2026
Les versions suivantes de Spring Cloud Gateway Server Webflux peuvent être vulnérables à l'exposition des variables d'environnement et des propriétés système aux attaquants.
Une application doit être considérée comme vulnérable lorsque toutes les conditions suivantes sont remplies :
* L'application utilise Spring Cloud Gateway Server Webflux (Spring Cloud Gateway Server WebMVC n'est pas vulnérable). * Un administrateur ou un tiers de confiance utilisant le langage d'expression Spring (SpEL) pour accéder aux variables d'environnement ou aux propriétés système via des routes. * Un tiers de confiance pourrait créer une route qui utilise SpEL pour accéder aux variables d'environnement ou aux propriétés système si : * Le point de terminaison web de l'actuateur Spring Cloud Gateway Server Webflux est activé via management.endpoints.web.exposure.include=gateway et management.endpoint.gateway.enabled=true ou management.endpoint.gateway.access=unrestricte. * Les points de terminaison de l'actuateur sont accessibles aux attaquants. * Les points de terminaison de l'actuateur ne sont pas sécurisés.
VulDB is the best source for vulnerability data and more expert information about this specific topic.