Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Spring Cloud Config Server (CVE-2025-22232)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-287 Autenticación incorrecta
Fecha de publicación:
10/04/2025
Última modificación:
11/04/2025

Descripción

Es posible que Spring Cloud Config Server no use el token de Vault enviado por los clientes que utilizan un encabezado X-CONFIG-TOKEN al realizar solicitudes a Vault. Su aplicación puede verse afectada por esto si se cumplen las siguientes condiciones: * Tiene Spring Vault en la ruta de clase de su Spring Cloud Config Server y * Está usando el encabezado X-CONFIG-TOKEN para enviar un token de Vault a Spring Cloud Config Server para que Config Server lo use al realizar solicitudes a Vault y * Está usando la implementación predeterminada de Spring Vault SessionManager, LifecycleAwareSessionManager, o una implementación de SessionManager que persiste el token de Vault, como SimpleSessionManager. En este caso, SessionManager conserva el primer token que recupera y continuará usando ese token incluso si las solicitudes del cliente al Spring Cloud Config Server incluyen un encabezado X-CONFIG-TOKEN con un valor diferente. Productos y versiones de Spring afectados Spring Cloud Config: * 2.2.1.RELEASE - 4.2.1 Mitigación Los usuarios de las versiones afectadas deben actualizar a la versión corregida correspondiente.Versión corregida Disponibilidad4.2.x4.2.2OSS4.1.x4.1.6OSS4.0.x4.0.10Comercial3.1.x3.1.10Comercial3.0.x4.1.6OSS2.2.x4.1.6OSS NOTA: Spring Cloud Config 3.0.x y 2.2.x ya no cuentan con soporte comercial o de código abierto. Se recomienda a los usuarios de estas versiones que las actualicen a una versión compatible. No son necesarias otras medidas de mitigación.

Referencias a soluciones, herramientas e información