Vulnerabilidad en Spring Framework MVC (CVE-2025-41242)

Las aplicaciones Spring Framework MVC pueden ser vulnerables a una "Vulnerabilidad de Path Traversal" cuando se implementan en un contenedor de Servlet no compatible. Una aplicación puede ser vulnerable cuando se cumplen todas las siguientes condiciones: * la aplicación se implementa como un WAR o con un contenedor de Servlet integrado * el contenedor de Servlet no rechaza secuencias sospechosas https://jakarta.ee/specifications/servlet/6.1/jakarta-servlet-spec-6.1.html#uri-path-canonicalization * la aplicación sirve recursos estáticos https://docs.spring.io/spring-framework/reference/web/webmvc/mvc-config/static-resources.html#page-title con el manejo de recursos de Spring Hemos verificado que las aplicaciones implementadas en Apache Tomcat o Eclipse Jetty no son vulnerables, siempre que las funciones de seguridad predeterminadas no estén deshabilitadas en la configuración. Dado que no podemos comprobar los exploits en todos los contenedores de Servlet y variantes de configuración, recomendamos encarecidamente actualizar su aplicación.