CVE-2025-41248 & CVE-2025-41249:Spring FrameworkとSpring Securityの脆弱性による認可バイパスと機密データ漏洩

[post-views]
9月 18, 2025 · 6 分で読めます
CVE-2025-41248 & CVE-2025-41249:Spring FrameworkとSpring Securityの脆弱性による認可バイパスと機密データ漏洩

Spring Frameworkは、スケーラブルなエンタープライズアプリケーションの構築に広く使用される軽量Javaフレームワークです。通常、Spring Securityと組み合わせて、認可やメソッドレベルのアクセス制御を強制します。多くのエンタープライズシステムがSpringに依存しているため、フレームワークに影響を及ぼすセキュリティ問題は広範な影響を及ぼす可能性があります。これは、Spring4Shell (CVE-2022-22965)により、未修正アプリケーションのリスクが浮き彫りになった事例で示されています。

2025年9月、CVE-2025-41248およびCVE-2025-41249という2件の新たな脆弱性が公開されました。これらの脆弱性はSpring FrameworkおよびSpring Securityに影響し、特定のクラス階層におけるセキュリティアノテーションの誤検出が原因で、認可バイパスや機密データの露出が発生する可能性があります。

今年、NISTによりすでに35,000件以上の新しいCVEが登録されており、サイバーセキュリティチームには先手を打つプレッシャーが高まっています。脆弱性の悪用は依然として主要な攻撃ベクトルであり、サイバー脅威が高度化する中、攻撃対象領域を縮小しリスクを軽減するためには、事前検知が不可欠です。

SOC Prime Platformに登録すると、リアルタイムのサイバー脅威インテリジェンスや、新たな脅威に対応するためにキュレーションされた検知アルゴリズムを提供するグローバルアクティブ脅威フィードにアクセスできます。すべてのルールは複数のSIEM、EDR、Data Lakeフォーマットに対応しており、MITRE ATT&CK®フレームワークにマッピングされています。また、各ルールにはCTIリンク、攻撃タイムライン、監査設定、トリアージ推奨事項などの関連コンテキストが付加されています。検知を確認ボタンを押すと、「CVE」タグでフィルタリングされた重大な脆弱性に対するプロアクティブな防御のための全検知スタックを確認できます。

検知を確認

セキュリティエンジニアは、検知エンジニアリング向けのIDE兼コパイロットであるUncoder AIも活用できます。新たにAIチャットボットモードとMCPツールのサポートが強化され、IOCを即座にカスタムハンティングクエリに変換したり、脅威レポートから検知コードを生成したり、Attack Flow図の作成、ATT&CKタグ予測、AI駆動のクエリ最適化、多プラットフォーム間での検知コンテンツ翻訳が可能です。

CVE-2025-41248 & CVE-2025-41249 分析

新たに公開されたCVE-2025-41248およびCVE-2025-41249は、Spring SecurityおよびSpring Frameworkにおけるアノテーション検出の欠陥が企業防御を弱体化させる可能性を示しています。両脆弱性は、パラメータ化されたスーパータイプを持つ型階層内のメソッドでアノテーションが一貫して解決されないことに関連しています。これにより、@PreAuthorizeなどのメソッドレベルのセキュリティアノテーションがスキップされ、保護されたメソッドが認可されていないユーザーにアクセス可能になる場合があります。

CVE-2025-41248は、Spring Security 6.4.0~6.4.9および6.5.0~6.5.3に影響し、ジェネリックスーパークラスやインターフェース内のメソッドレベルセキュリティアノテーションを検出できない場合があります。CVE-2025-41249はSpring Framework自体に関連する脆弱性で、6.2.0~6.2.10、6.1.0~6.1.22、5.3.0~5.3.44、および古い未サポートバージョンに影響します。この場合、ジェネリック型階層内のメソッドに宣言されたアノテーションが一貫して認識されず、認可バイパスが発生する可能性があります。

メソッドレベルセキュリティを@EnableMethodSecurityで有効にし、ジェネリックインターフェースやスーパークラスに配置されたアノテーションに依存しているアプリケーションのみが影響を受けます。これらのプロジェクトではリスクが高く、攻撃者は認証を回避せずに機密データにアクセスしたり、意図しないビジネスロジックを実行したりする可能性があります。

Springチームは、CVE-2025-41248およびCVE-2025-41249の脆弱性を修正したパッチバージョンを公開しており、即時アップグレードが強く推奨されています。

修正版:

  • Spring Security: 6.4.10, 6.5.4
  • Spring Framework: 6.2.11, 6.1.23, 5.3.45

すぐにパッチ適用できない組織向けには、暫定的な緩和策として、対象クラス内で保護対象メソッドを直接宣言することが推奨されています。

広く使用されるソフトウェアの脆弱性が増加する中、組織は継続的なパッチ管理や異常活動の監視など、プロアクティブなセキュリティ対策を採用することが推奨されます。SOC Primeは、AI、自動化、リアルタイム脅威インテリジェンスを活用した包括的な製品群を提供しており、ゼロトラスト原則に基づくセキュリティで、組織が新たな脅威に対抗し、サイバー耐性を強化できるよう支援します。

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

CVE-2025-10585:実際の攻撃で悪用された Chrome V8 JavaScript・WebAssembly エンジンの新たなゼロデイ脆弱性 6 分で読めます 最新の脅威 CVE-2025-10585:実際の攻撃で悪用された Chrome V8 JavaScript・WebAssembly エンジンの新たなゼロデイ脆弱性 by Veronika Telychko CVE-2025-7775 脆弱性:NetScaler を標的とした新たな重大 RCE ゼロデイが積極的に悪用中 5 分で読めます 最新の脅威 CVE-2025-7775 脆弱性:NetScaler を標的とした新たな重大 RCE ゼロデイが積極的に悪用中 by Daryna Olyniychuk CVE-2025-43300 脆弱性:iOS・iPadOS・macOSのゼロデイが積極的に悪用中 6 分で読めます 最新の脅威 CVE-2025-43300 脆弱性:iOS・iPadOS・macOSのゼロデイが積極的に悪用中 by Veronika Telychko
すべてのニュース