CVE-2025-41248 & CVE-2025-41249 : Vulnérabilités dans Spring Framework et Spring Security entraînant un contournement d’autorisation et l’exposition de données sensibles
Le framework Spring est un framework Java léger largement utilisé pour créer des applications d’entreprise évolutives. Il est souvent combiné avec Spring Security pour appliquer des contrôles d’accès au niveau des méthodes et gérer l’autorisation. Comme de nombreux systèmes d’entreprise dépendent de Spring, toute vulnérabilité affectant ce framework peut avoir un impact majeur, comme l’a démontré Spring4Shell (CVE-2022-22965), une vulnérabilité critique d’exécution de code à distance qui a mis en évidence les risques liés aux applications non corrigées.
En septembre 2025, deux nouvelles vulnérabilités, CVE-2025-41248 et CVE-2025-41249, ont été divulguées. Ces failles affectent Spring Framework et Spring Security et concernent la détection incorrecte des annotations de sécurité dans certaines hiérarchies de classes, pouvant entraîner un contournement de l’autorisation ou l’exposition de données sensibles.
Avec plus de 35 000 nouvelles CVE déjà enregistrées par le NIST cette année, les équipes de cybersécurité sont sous une pression croissante pour rester en avance. L’exploitation des vulnérabilités demeure le vecteur d’attaque principal, et à mesure que les cybermenaces deviennent plus sophistiquées, la détection proactive est essentielle pour réduire la surface d’attaque et atténuer les risques.
Inscrivez-vous sur la plateforme SOC Prime pour accéder au flux mondial des menaces actives, offrant des renseignements cyber en temps réel et des algorithmes de détection sélectionnés pour répondre aux menaces émergentes. Toutes les règles sont compatibles avec plusieurs formats SIEM, EDR et Data Lake et sont mappées au framework MITRE ATT&CK®. De plus, chaque règle est enrichie de liens CTI, de chronologies d’attaques, de configurations d’audit, de recommandations de triage et d’autres contextes pertinents. Cliquez sur le bouton Explorer les détections pour consulter l’intégralité du stack de détection pour une défense proactive contre les vulnérabilités critiques filtrées par le tag “CVE”.
Les ingénieurs en sécurité peuvent également utiliser Uncoder AI, un IDE et copilote pour l’ingénierie de détection, désormais amélioré avec un nouveau mode AI Chat Bot et les outils MCP. Avec Uncoder, les défenseurs peuvent instantanément convertir les IOC en requêtes de chasse personnalisées, créer du code de détection à partir de rapports de menaces bruts, générer des diagrammes d’Attack Flow, activer la prédiction de tags ATT&CK, optimiser les requêtes grâce à l’IA et traduire le contenu de détection sur plusieurs plateformes.
Analyse des CVE-2025-41248 et CVE-2025-41249
Les vulnérabilités récemment divulguées CVE-2025-41248 et CVE-2025-41249 dans Spring Security et Spring Framework mettent en évidence comment des failles dans la détection des annotations peuvent compromettre la sécurité des entreprises. Les deux vulnérabilités sont liées à l’incapacité de Spring à résoudre de manière cohérente les annotations sur les méthodes dans des hiérarchies de types utilisant des supertypes paramétrés avec des génériques non bornés. Cela peut entraîner l’ignorance des annotations de sécurité au niveau des méthodes, y compris @PreAuthorize, laissant les méthodes protégées accessibles aux utilisateurs non autorisés.
CVE-2025-41248 affecte Spring Security 6.4.0 à 6.4.9 et 6.5.0 à 6.5.3, où le framework peut ne pas détecter les annotations de sécurité au niveau des méthodes dans des superclasses ou interfaces génériques, entraînant un accès non autorisé. CVE-2025-41249 est une faille étroitement liée dans Spring Framework lui-même, impactant les versions 6.2.0 à 6.2.10, 6.1.0 à 6.1.22 et 5.3.0 à 5.3.44, ainsi que des versions plus anciennes non supportées. Dans ce cas, le framework ne reconnaît pas systématiquement les annotations déclarées sur les méthodes dans des hiérarchies de types génériques, pouvant provoquer un contournement de l’autorisation.
Seules les applications activant la sécurité au niveau des méthodes avec @EnableMethodSecurity et s’appuyant sur des annotations placées sur des interfaces ou superclasses génériques sont exposées. Le risque est important pour ces projets. Les attaquants pourraient accéder à des données sensibles ou exécuter une logique métier en dehors des contrôles prévus, le tout sans contourner l’authentification.
L’équipe Spring a publié des versions corrigées pour CVE-2025-41248 et CVE-2025-41249 et il est fortement recommandé de mettre à jour immédiatement.
Versions corrigées :
- Spring Security : 6.4.10, 6.5.4
- Spring Framework : 6.2.11, 6.1.23, 5.3.45
Pour les organisations ne pouvant pas patcher immédiatement, le bulletin recommande de déclarer temporairement toutes les méthodes protégées directement dans leur classe cible.
À mesure que les vulnérabilités dans les logiciels largement utilisés augmentent, il est conseillé aux organisations d’adopter des pratiques de sécurité proactives, telles qu’une gestion cohérente des correctifs et une surveillance continue des activités inhabituelles, afin de se protéger contre les menaces émergentes. SOC Prime fournit aux équipes de sécurité une suite complète de produits basée sur l’IA, l’automatisation et les renseignements sur les menaces en temps réel, construite selon les principes de sécurité zéro-trust pour permettre aux organisations de surpasser les menaces émergentes et renforcer leur résilience cyber.
