Er is een kritiek beveiligingslek ontdekt in Spring Framework, geïdentificeerd als CVE-2025-41242. Deze path traversale kwetsbaarheid kan optreden wanneer applicaties worden uitgevoerd op niet-conforme Servlet containers. Het kan leiden tot potentieel ongeautoriseerde toegang via uw netwerk. Dit is zorgwekkend, vooral omdat een aanvaller zonder tussenkomst van gebruikers toegang kan krijgen.
Het probleem doet zich voor als uw applicatie aan de volgende voorwaarden voldoet:
- Gedraaid als een WAR-bestand of met een ingebedde Servlet container
- De Servlet container filtert geen verdachte paden en verloopt via niet-canonieke URI-paden
- Het bedienen van statische bronnen via Spring’s bronverwerking
Let op: Applicaties die worden gehost op Apache Tomcat of Eclipse Jetty zijn niet kwetsbaar, zolang de standaardbeveiligingsinstellingen ingeschakeld blijven.
Aanbevelingen
Wij raden sterk aan uw versie van Spring Framework te upgraden naar:
- 6.2.10 of hoger voor versie 6.2.x
- 6.1.22 of hoger voor versie 6.1.x
- 5.3.44 of hoger voor versie 5.3.x
Controleer uw configuraties en houd alle veiligheidsopties geactiveerd om blootstelling aan deze kwetsbaarheid te minimaliseren.
Bronnen
Lees meer over deze kwetsbaarheid en aanbevolen acties op de Spring Security-pagina.
Vraag en Antwoord
Wat is CVE-2025-41242?
CVE-2025-41242 betreft een path traversale kwetsbaarheid in Spring Framework wanneer uitgevoerd op niet-conforme Servlet containers.
Welke systemen zijn kwetsbaar voor CVE-2025-41242?
Systeembouw met Spring Framework versie lager dan de aanbevolen versies en gehost op niet-conforme Servlets met onjuiste URI-path filtering zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, er zijn bijgewerkte versies van Spring Framework beschikbaar. Upgrade naar de laatste versies om uw systeem te beschermen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk via netwerktoegang niet-geautoriseerde toegang krijgen, afhankelijk van configuraties en systeeminstellingen.
