CVE-2025-41248 y CVE-2025-41249: Vulnerabilidades en Spring Framework y Spring Security que permiten omisión de autorización y exposición de datos sensibles
Spring Framework es un framework ligero de Java ampliamente utilizado para construir aplicaciones empresariales escalables. A menudo se combina con Spring Security para implementar controles de autorización y acceso a nivel de método. Dado que muchos sistemas empresariales dependen de Spring, cualquier vulnerabilidad que afecte al framework puede tener un impacto generalizado, como lo demostró Spring4Shell (CVE-2022-22965), una vulnerabilidad crítica de ejecución remota de código que evidenció los riesgos de las aplicaciones no parchadas.
En septiembre de 2025, se divulgaron dos nuevas vulnerabilidades, CVE-2025-41248 y CVE-2025-41249. Estos fallos afectan a Spring Framework y Spring Security, e involucran la detección incorrecta de anotaciones de seguridad en ciertas jerarquías de clases, lo que puede permitir la omisión de autorización o la exposición de datos sensibles.
Con más de 35,000 nuevas CVEs registradas por NIST este año, los equipos de ciberseguridad enfrentan una presión creciente para mantenerse a la vanguardia. La explotación de vulnerabilidades sigue siendo el vector de ataque principal y, a medida que las amenazas cibernéticas se vuelven más sofisticadas, la detección proactiva es esencial para reducir la superficie de ataque y mitigar riesgos.
Regístrate en SOC Prime Platform para acceder al feed global de amenazas activas, que ofrece inteligencia de amenazas cibernéticas en tiempo real y algoritmos de detección curados para abordar amenazas emergentes. Todas las reglas son compatibles con múltiples formatos SIEM, EDR y Data Lake, y están mapeadas al framework MITRE ATT&CK®. Además, cada regla incluye enlaces CTI, líneas de tiempo de ataques, configuraciones de auditoría, recomendaciones de priorización y más contexto relevante. Presiona el botón Explorar Detecciones para ver todo el stack de detección y defenderte proactivamente contra vulnerabilidades críticas filtradas por la etiqueta “CVE”.
Los ingenieros de seguridad también pueden aprovechar Uncoder AI, un IDE y copiloto para ingeniería de detección, ahora mejorado con un nuevo modo AI Chat Bot y soporte de herramientas MCP. Con Uncoder, los defensores pueden convertir IOCs en consultas de hunting personalizadas, crear código de detección a partir de reportes de amenazas, generar diagramas de flujo de ataque, habilitar predicción de etiquetas ATT&CK, optimizar consultas mediante IA y traducir contenido de detección entre múltiples plataformas.
Análisis de CVE-2025-41248 y CVE-2025-41249
Las vulnerabilidades recién divulgadas CVE-2025-41248 y CVE-2025-41249 en Spring Security y Spring Framework evidencian cómo fallos en la detección de anotaciones pueden comprometer la seguridad empresarial. Ambas vulnerabilidades están relacionadas con la incapacidad de Spring para resolver consistentemente anotaciones en métodos dentro de jerarquías de tipos que usan supertipos parametrizados con genéricos ilimitados. Esto puede provocar que se omitan anotaciones de seguridad a nivel de método, incluyendo @PreAuthorize, dejando métodos protegidos accesibles para usuarios no autorizados.
CVE-2025-41248 afecta a Spring Security 6.4.0 a 6.4.9 y 6.5.0 a 6.5.3, donde el framework puede no detectar anotaciones de seguridad a nivel de método en superclases o interfaces genéricas, resultando en acceso no autorizado. CVE-2025-41249 es un fallo estrechamente relacionado en el propio Spring Framework, impactando versiones 6.2.0 a 6.2.10, 6.1.0 a 6.1.22 y 5.3.0 a 5.3.44, así como versiones más antiguas no soportadas. En este caso, el framework no reconoce de manera consistente las anotaciones declaradas en métodos de jerarquías de tipos genéricos, lo que puede permitir la omisión de autorización.
Solo las aplicaciones que habilitan la seguridad a nivel de método con @EnableMethodSecurity y dependen de anotaciones colocadas en interfaces o superclases genéricas están expuestas. El riesgo es significativo para estos proyectos. Los atacantes podrían acceder a datos sensibles o ejecutar lógica de negocio fuera de los controles previstos, sin necesidad de evadir la autenticación.
El equipo de Spring ha lanzado versiones parcheadas que corrigen las vulnerabilidades CVE-2025-41248 y CVE-2025-41249, y se recomienda realizar actualizaciones inmediatas.
Versiones parcheadas:
- Spring Security: 6.4.10, 6.5.4
- Spring Framework: 6.2.11, 6.1.23, 5.3.45
Para las organizaciones que no pueden aplicar el parche de inmediato, el advisory sugiere declarar temporalmente todos los métodos protegidos directamente en su clase objetivo.
A medida que aumentan las vulnerabilidades en software ampliamente utilizado, se recomienda a las organizaciones adoptar prácticas de seguridad proactivas, como gestión de parches consistente y monitoreo continuo de actividades inusuales, para protegerse contra amenazas emergentes. SOC Prime proporciona a los equipos de seguridad una suite completa de productos respaldada por IA, automatización e inteligencia de amenazas en tiempo real, basada en principios de seguridad de confianza cero, para que las organizaciones superen las amenazas emergentes y mejoren la resiliencia cibernética.
