Hai lỗ hổng CVE có mức độ nghiêm trọng trung bình trong thư viện Spring Framework và Spring Security đã được công bố vào ngày 15 tháng 9 năm 2025. Các lỗi này liên quan đến cơ chế phát hiện annotation mà các tính năng bảo mật phương thức của Spring Security sử dụng.
Chúng có thể dẫn đến tình trạng authorization bypass trong các ứng dụng phụ thuộc vào parameterized types hoặc unbounded generic superclasses. Người dùng các phiên bản bị ảnh hưởng cần nâng cấp lên các bản phát hành đã sửa lỗi hoặc áp dụng các biện pháp giảm thiểu được khuyến nghị ngay lập tức để ngăn chặn truy cập trái phép.
Phân Tích Kỹ Thuật Lỗ Hổng Spring Framework và Spring Security
Cơ Chế Khai Thác Authorization Bypass
Tính năng @EnableMethodSecurity của Spring Security dựa vào việc phát hiện các annotation ở cấp phương thức, chẳng hạn như @PreAuthorize, để thực thi kiểm soát truy cập.
Trong một số hệ thống phân cấp kiểu (type hierarchies) nơi một superclass hoặc interface sử dụng unbounded generics, framework có thể không giải quyết đúng các annotation trên các phương thức được kế thừa.
Kẻ tấn công có thể khai thác lỗ hổng CVE này bằng cách gọi các phương thức được bảo mật mà không cần kiểm tra quyền thích hợp, từ đó thực hiện authorization bypass hiệu quả.
Chi Tiết Kỹ Thuật về Lỗ Hổng CVE-2025-41248
Vấn đề đầu tiên, được theo dõi là CVE-2025-41248, ảnh hưởng đến các phiên bản Spring Security từ 6.4.0 đến 6.4.9 và từ 6.5.0 đến 6.5.3.
Lỗ hổng CVE này đặc biệt liên quan đến các annotation bảo mật phương thức trên parameterized types. Để biết thêm chi tiết, bạn có thể tham khảo cảnh báo trên NVD.
Chi Tiết Kỹ Thuật về Lỗ Hổng CVE-2025-41249
Vấn đề thứ hai, CVE-2025-41249, ảnh hưởng đến các phiên bản Spring Framework từ 5.3.0 đến 5.3.44, từ 6.1.0 đến 6.1.22, và từ 6.2.0 đến 6.2.10.
Nó cũng ảnh hưởng đến các bản phát hành cũ hơn không còn được hỗ trợ. Cả hai lỗ hổng CVE này đều được một nhà nghiên cứu ẩn danh báo cáo một cách có trách nhiệm và được công bố đồng thời.
Các tổ chức sử dụng annotation cấp phương thức của Spring Security trên generic superclasses hoặc interfaces có nguy cơ bị gọi phương thức trái phép do authorization bypass. Các ứng dụng không sử dụng @EnableMethodSecurity hoặc không áp dụng các annotation bảo mật trên generic types sẽ không bị ảnh hưởng.
Phiên Bản Ảnh Hưởng và Cập Nhật Bản Vá Bảo Mật
Các Phiên Bản Của Spring Security Bị Ảnh Hưởng
- Spring Security 6.4.0 đến 6.4.9
- Spring Security 6.5.0 đến 6.5.3
Các Phiên Bản Của Spring Framework Bị Ảnh Hưởng
- Spring Framework 5.3.0 đến 5.3.44
- Spring Framework 6.1.0 đến 6.1.22
- Spring Framework 6.2.0 đến 6.2.10
- Các bản phát hành cũ hơn không được hỗ trợ
Hướng Dẫn Nâng Cấp và Bản Vá Bảo Mật
Để khắc phục lỗ hổng CVE-2025-41248, người dùng nên nâng cấp lên Spring Security 6.4.10 hoặc 6.5.4.
Đối với lỗ hổng CVE-2025-41249, các phiên bản đã sửa lỗi bao gồm Spring Framework 5.3.45, 6.1.23 (commercial), và 6.2.11.
Không có bước giảm thiểu nào khác được yêu cầu ngoài việc nâng cấp, đây là bản vá bảo mật quan trọng nhất. Nếu việc nâng cấp ngay lập tức không khả thi, các nhà phát triển có thể khắc phục lỗ hổng CVE-2025-41248 bằng cách khai báo tất cả các phương thức được bảo mật trực tiếp trong các lớp mục tiêu của họ, thay vì kế thừa chúng từ generic superclasses.
Khuyến Nghị và Kiểm Tra Bảo Mật
Các nhóm phát triển nên kiểm tra lại cơ sở mã của họ để tìm việc sử dụng @EnableMethodSecurity và các annotation cấp phương thức trên các kiểu generic.
Các pipeline tích hợp liên tục (CI/CD) có thể bao gồm các bản quét phụ thuộc tự động để gắn cờ các bản phát hành Spring dễ bị tấn công. Cập nhật lên các phiên bản sửa lỗi được khuyến nghị sẽ khôi phục việc giải quyết annotation chính xác và ngăn chặn authorization bypass.
Cuối cùng, các nhóm nên xem xét lại các bộ kiểm thử kiểm soát truy cập của họ để đảm bảo rằng các phương thức kế thừa được bao phủ đúng cách, đồng thời xác nhận hiệu quả của bản vá bảo mật đã triển khai. Thông tin chi tiết có thể được tìm thấy trong security advisory của Spring.
