개요
Spring 제품에서 발생하는 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트 하시기 바랍니다.
대상 제품
CVE-2025-41243
Spring Cloud Gateway 버전: 4.3.0 이상 4.3.1 미만
Spring Cloud Gateway 버전: 4.2.0 이상 4.2.5 미만
Spring Cloud Gateway 버전: 4.1.0 이상 4.1.11 미만
Spring Cloud Gateway 버전: 4.0.0 전체
Spring Cloud Gateway 버전: 3.1.0 이상 3.1.11 미만
CVE-2025-41248
Spring Security 버전: 6.4.0 이상 6.4.9 이하
Spring Security 버전: 6.5.0 이상 6.5.3 이하
CVE-2025-41249
Spring Framework 버전: 6.2.0 이상 6.2.10 이하
Spring Framework 버전: 6.1.0 이상 6.1.22 이하
Spring Framework 버전: 5.3.0 이상 5.3.44 이하
해결된 취약점
Spring Cloud Gateway에서 발생하는 Spring 환경 속성 수정 취약점 (CVE-2025-41243)
Spring Security에서 발생하는 메서드 보안 애노테이션 권한 우회 취약점 (CVE-2025-41248)
Spring Framework에서 발생하는 애노테이션 탐지 취약점 (CVE-2025-41249)
취약점 패치
최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2025-41243
Spring Cloud Gateway 버전: 4.3.1
Spring Cloud Gateway 버전: 4.2.5
Spring Cloud Gateway 버전: 4.1.11
Spring Cloud Gateway 버전: 3.1.11
CVE-2025-41248
Spring Security 버전: 6.4.10
Spring Security 버전: 6.5.4
CVE-2025-41249
Spring Framework 버전: 6.2.11
Spring Framework 버전: 6.1.23
Spring Framework 버전: 5.3.45
참고사이트
[1] CVE-2025-41243: Spring Expression Language property modification using Spring Cloud Gateway Server WebFlux
https://spring.io/security/cve-2025-41243
[2] CVE-2025-41248: Spring Security authorization bypass for method security annotations on parameterized types
https://spring.io/security/cve-2025-41248
[3] CVE-2025-41249: Spring Framework Annotation Detection Vulnerability
https://spring.io/security/cve-2025-41249