Vulnerabilidad de modificación de propiedades en Spring Cloud Gateway
Fecha de publicación 17/09/2025
Identificador
INCIBE-2025-0500
Importancia
5 - Crítica
Recursos Afectados
Las siguientes versiones de Spring Cloud Gateway están afectadas:
- 4.3.0 - 4.3.x;
- 4.2.0 - 4.2.x;
- 4.1.0 - 4.1.x;
- 4.0.0 - 4.0.x;
- 3.1.0 - 3.1.x;
- las versiones anteriores que ya no reciben soporte técnico también se ven afectadas.
Descripción
Ezzer17 ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante modificar las propiedades del entorno Spring.
Solución
Se recomienda a los usuarios de las versiones afectadas actualizar a la versión corregida correspondiente:
- 4.3.1;
- 4.2.5;
- 4.1.11;
- 4.1.11;
- 3.1.11.
Detalle
Spring Cloud Gateway Server Webflux puede ser vulnerable a la modificación de propiedades del entorno Spring. Para poder explotar la vulnerabilidad, es necesario que se cumplan todas las siguientes condiciones:
- La aplicación utiliza Spring Cloud Gateway Server Webflux (Spring Cloud Gateway Server WebMVC no es vulnerable).
- Spring Boot actuator es una dependencia.
- El enpoint web del actuador Spring Cloud Gateway Server Webflux está habilitado a través de 'management.endpoints.web.exposure.include=gateway'.
- Los endpoint del actuador están disponibles para los atacantes y desprotegidos.
Se ha asignado el identificador CVE-2025-41243 para esta vulnerabilidad.
CVE
Explotación
No
Nuevo Fabricante
Spring
Identificador CVE
CVE-2025-41243
Severidad
Crítica
Listado de referencias
Etiquetas
