Vulnerabilidad en Spring Security Aspects (CVE-2025-41232)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-693 Fallo del mecanismo de protección

Fecha de publicación:

21/05/2025

Última modificación:

15/04/2026

Descripción

Es posible que Spring Security Aspects no ubique correctamente las anotaciones de seguridad de métodos en métodos privados. Esto puede provocar una omisión de autorización. Su aplicación podría verse afectada si se cumplen las siguientes condiciones: * Utiliza @EnableMethodSecurity(mode=ASPECTJ) y spring-security-aspects, y * Tiene anotaciones de método de Spring Security en un método privado. En ese caso, el método de destino podría invocarse sin la autorización correspondiente. No se verá afectado si: * No utiliza @EnableMethodSecurity(mode=ASPECTJ) ni spring-security-aspects, o * No tiene métodos privados anotados por Spring Security.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

9.10

Gravedad 3.x

CRÍTICA

Referencias a soluciones, herramientas e información

http://spring.io/security/cve-2025-41232