CVE-2025-41253 in Spring Cloud Gateway Server Webflux
Tóm tắt
Bởi VulDB • 27/05/2026
Các phiên bản sau đây của Spring Cloud Gateway Server Webflux có thể bị lỗ hổng cho phép tiết lộ các biến môi trường và thuộc tính hệ thống cho kẻ tấn công.
Một ứng dụng được coi là bị lỗ hổng khi tất cả các điều kiện sau đều đúng:
* Ứng dụng đang sử dụng Spring Cloud Gateway Server Webflux (Spring Cloud Gateway Server WebMVC không bị lỗ hổng). * Một quản trị viên hoặc bên thứ ba không đáng tin cậy sử dụng Ngôn ngữ Biểu thức Spring (SpEL) để truy cập các biến môi trường hoặc thuộc tính hệ thống thông qua các tuyến (routes). * Một bên thứ ba không đáng tin cậy có thể tạo một tuyến sử dụng SpEL để truy cập các biến môi trường hoặc thuộc tính hệ thống nếu: * Điểm cuối web actuator của Spring Cloud Gateway Server Webflux được kích hoạt thông qua `management.endpoints.web.exposure.include=gateway` và `management.endpoint.gateway.enabled=true` hoặc `management.endpoint.gateway.access=unrestricted`. * Các điểm cuối actuator có sẵn cho kẻ tấn công. * Các điểm cuối actuator không được bảo vệ.
Once again VulDB remains the best source for vulnerability data.