一、背景介绍
近日监测到官方修复 Spring Cloud Gateway 表达式注入漏洞(CVE-2025-41253)。
1.1漏洞描述
该漏洞源于官方对Spring Cloud Gateway环境属性修改漏洞(CVE-2025-41243)补丁修复不完善,Spring Cloud Gateway 的SpEL表达式安全校验机制仍存在缺陷,攻击者可通过暴露的 Actuator 端点,读取目标系统上的环境变量、系统属性等敏感信息。
1.2漏洞编号
CVE-2025-41253
1.3漏洞等级
高危
二、修复建议
2.1受影响的版本
4.3.0 <= Spring Cloud Gateway < 4.3.2
4.2.0 <= Spring Cloud Gateway < 4.2.6
4.1.0 <= Spring Cloud Gateway < 4.1.12
4.0.0 <= Spring Cloud Gateway < 4.0.12
3.1.0 <= Spring Cloud Gateway < 3.1.12
较旧的、不受支持的版本也会受到影响。
2.2修复建议
官方已发布安全补丁,请及时更新至最新版本:
Spring Cloud Gateway >= 4.3.2
Spring Cloud Gateway >= 4.2.6
Spring Cloud Gateway >= 4.1.12
Spring Cloud Gateway >= 4.0.12
Spring Cloud Gateway >= 3.1.12
下载地址:
https://spring.io/projects/spring-cloud