Vulnerabilidad de modificación de propiedades en Spring Cloud Gateway
Las siguientes versiones de Spring Cloud Gateway están afectadas:
- 4.3.0 – 4.3.x;
- 4.2.0 – 4.2.x;
- 4.1.0 – 4.1.x;
- 4.0.0 – 4.0.x;
- 3.1.0 – 3.1.x;
- las versiones anteriores que ya no reciben soporte técnico también se ven afectadas.
Ezzer17 ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante modificar las propiedades del entorno Spring.
Se recomienda a los usuarios de las versiones afectadas actualizar a la versión corregida correspondiente:
- 4.3.1;
- 4.2.5;
- 4.1.11;
- 4.1.11;
- 3.1.11.
Spring Cloud Gateway Server Webflux puede ser vulnerable a la modificación de propiedades del entorno Spring. Para poder explotar la vulnerabilidad, es necesario que se cumplan todas las siguientes condiciones:
- La aplicación utiliza Spring Cloud Gateway Server Webflux (Spring Cloud Gateway Server WebMVC no es vulnerable).
- Spring Boot actuator es una dependencia.
- El enpoint web del actuador Spring Cloud Gateway Server Webflux está habilitado a través de ‘management.endpoints.web.exposure.include=gateway‘.
- Los endpoint del actuador están disponibles para los atacantes y desprotegidos.
Se ha asignado el identificador CVE-2025-41243 para esta vulnerabilidad.
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.