CVE-2025-41253 in Spring Cloud Gateway Server Webfluxthông tin

Tóm tắt

Bởi VulDB • 27/05/2026

Các phiên bản sau đây của Spring Cloud Gateway Server Webflux có thể bị lỗ hổng cho phép tiết lộ các biến môi trường và thuộc tính hệ thống cho kẻ tấn công.

Một ứng dụng được coi là bị lỗ hổng khi tất cả các điều kiện sau đều đúng:

* Ứng dụng đang sử dụng Spring Cloud Gateway Server Webflux (Spring Cloud Gateway Server WebMVC không bị lỗ hổng). * Một quản trị viên hoặc bên thứ ba không đáng tin cậy sử dụng Ngôn ngữ Biểu thức Spring (SpEL) để truy cập các biến môi trường hoặc thuộc tính hệ thống thông qua các tuyến (routes). * Một bên thứ ba không đáng tin cậy có thể tạo một tuyến sử dụng SpEL để truy cập các biến môi trường hoặc thuộc tính hệ thống nếu: * Điểm cuối web actuator của Spring Cloud Gateway Server Webflux được kích hoạt thông qua `management.endpoints.web.exposure.include=gateway` và `management.endpoint.gateway.enabled=true` hoặc `management.endpoint.gateway.access=unrestricted`. * Các điểm cuối actuator có sẵn cho kẻ tấn công. * Các điểm cuối actuator không được bảo vệ.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

Vmware

Đặt trước

16/04/2025

Tiết lộ

16/10/2025

Kiểm duyệt

được chấp nhận

EPSS

0.00446

KEV

không

Các hoạt động

rất thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!