CVE-2025-41248 & CVE-2025-41249: Schwachstellen in Spring Framework und Spring Security ermöglichen Umgehung von Berechtigungen und Offenlegung sensibler Daten
Das Spring Framework ist ein leichtgewichtiges Java-Framework, das häufig zum Aufbau skalierbarer Unternehmensanwendungen verwendet wird. Oft kommt es in Verbindung mit Spring Security zum Einsatz, um Autorisierungen und methodenbasierte Zugriffskontrollen durchzusetzen. Da viele Unternehmenssysteme auf Spring angewiesen sind, kann ein Sicherheitsproblem im Framework weitreichende Folgen haben, wie Spring4Shell (CVE-2022-22965), eine kritische Remote-Code-Ausführungsschwachstelle, gezeigt hat, die die Risiken ungepatchter Anwendungen verdeutlichte.
Im September 2025 wurden zwei neue Schwachstellen, CVE-2025-41248 und CVE-2025-41249, veröffentlicht. Diese Fehler betreffen das Spring Framework und Spring Security und entstehen durch die fehlerhafte Erkennung von Sicherheitsannotationen in bestimmten Klassenehierarchien, was zu einer Umgehung von Autorisierungen oder zur Offenlegung sensibler Daten führen kann.
Mit über 35.000 neuen CVEs, die NIST in diesem Jahr bereits erfasst hat, stehen Cybersicherheitsteams unter zunehmendem Druck, stets einen Schritt voraus zu sein. Die Ausnutzung von Schwachstellen bleibt der führende Angriffsvektor, und da Cyberbedrohungen immer raffinierter werden, ist eine proaktive Erkennung entscheidend, um die Angriffsfläche zu reduzieren und Risiken zu minimieren.
Melden Sie sich auf der SOC Prime Plattform an, um den globalen Active Threat Feed zu nutzen, der Echtzeit-Cyberbedrohungsinformationen und kuratierte Erkennungsalgorithmen für neue Bedrohungen bietet. Alle Regeln sind mit mehreren SIEM-, EDR- und Data-Lake-Formaten kompatibel und auf das MITRE ATT&CK®-Framework abgebildet. Zusätzlich ist jede Regel mit CTI-Links, Angriffstimelines, Audit-Konfigurationen, Triage-Empfehlungen und weiterem relevanten Kontext angereichert. Drücken Sie den Erkennungen Erkunden-Button, um den gesamten Erkennungsstack für proaktive Verteidigung gegen kritische Schwachstellen zu sehen, gefiltert nach dem „CVE“-Tag.
Sicherheitsingenieure können außerdem Uncoder AI nutzen, ein IDE- und Co-Pilot-Tool für Detection Engineering, das nun mit einem neuen AI-Chatbot-Modus und MCP-Tools erweitert wurde. Mit Uncoder können Verteidiger IOCs sofort in benutzerdefinierte Hunting-Queries umwandeln, Erkennungscode aus Rohbedrohungsberichten erstellen, Attack-Flow-Diagramme generieren, ATT&CK-Tags vorhersagen, KI-gesteuerte Query-Optimierung nutzen und Erkennungsinhalte plattformübergreifend übersetzen.
Analyse von CVE-2025-41248 & CVE-2025-41249
Die neu veröffentlichten Schwachstellen CVE-2025-41248 und CVE-2025-41249 in Spring Security und Spring Framework zeigen, wie Fehler bei der Annotationserkennung Unternehmensverteidigungen untergraben können. Beide Schwachstellen hängen damit zusammen, dass Spring Annotationen auf Methoden innerhalb von Typ-Hierarchien mit parametrisierten Supertypen und unbegrenzten Generics nicht konsistent auflöst. Dies kann dazu führen, dass methodenbasierte Sicherheitsannotationen, einschließlich @PreAuthorize, übersprungen werden, sodass geschützte Methoden für unautorisierte Benutzer zugänglich bleiben.
CVE-2025-41248 betrifft Spring Security Versionen 6.4.0 bis 6.4.9 und 6.5.0 bis 6.5.3, bei denen das Framework methodenbasierte Sicherheitsannotationen in generischen Superklassen oder Schnittstellen möglicherweise nicht erkennt, was zu unautorisiertem Zugriff führen kann. CVE-2025-41249 ist ein eng verwandter Fehler im Spring Framework selbst, der Versionen 6.2.0 bis 6.2.10, 6.1.0 bis 6.1.22, 5.3.0 bis 5.3.44 sowie ältere nicht unterstützte Versionen betrifft. Hier erkennt das Framework Annotationen auf Methoden in generischen Typ-Hierarchien nicht konsistent, was zu einer Umgehung von Autorisierungen führen kann.
Betroffen sind nur Anwendungen, die methodenbasierte Sicherheit mit @EnableMethodSecurity aktivieren und Annotationen auf generischen Schnittstellen oder Superklassen verwenden. Für diese Projekte ist das Risiko erheblich. Angreifer könnten auf sensible Daten zugreifen oder Geschäftslogik außerhalb der vorgesehenen Kontrollen ausführen, ohne die Authentifizierung zu umgehen.
Das Spring-Team hat gepatchte Versionen veröffentlicht, die die CVE-2025-41248– und CVE-2025-41249-Schwachstellen beheben, und ein sofortiges Upgrade wird dringend empfohlen.
Gepatchte Versionen:
- Spring Security: 6.4.10, 6.5.4
- Spring Framework: 6.2.11, 6.1.23, 5.3.45
Für Organisationen, die nicht sofort patchen können, wird als temporäre Maßnahme empfohlen, alle gesicherten Zielmethoden direkt in der Zielklasse zu deklarieren.
Da die Anzahl der Schwachstellen in weit verbreiteter Software weiter steigt, wird empfohlen, proaktive Sicherheitspraktiken zu implementieren, wie konsequentes Patch-Management und fortlaufende Überwachung ungewöhnlicher Aktivitäten, um sich vor neuen Bedrohungen zu schützen. SOC Prime bietet Sicherheitsteams eine vollständige Produktsuite, unterstützt durch KI, Automatisierung und Echtzeit-Bedrohungsinformationen, aufgebaut auf Zero-Trust-Sicherheitsprinzipien, um Organisationen zu befähigen, neuen Bedrohungen zu begegnen und die Cyberresilienz zu stärken.
