CVE-2025-41248 & CVE-2025-41249: Vulnerabilità in Spring Framework e Spring Security causano bypass dell’autorizzazione e esposizione di dati sensibili
Spring Framework è un framework Java leggero, ampiamente utilizzato per sviluppare applicazioni enterprise scalabili. Viene spesso impiegato insieme a Spring Security per applicare controlli di autorizzazione e accesso a livello di metodo. Poiché molti sistemi enterprise dipendono da Spring, qualsiasi problema di sicurezza che interessa il framework può avere un impatto diffuso, come dimostrato da Spring4Shell (CVE-2022-22965), una vulnerabilità critica di esecuzione remota del codice che ha evidenziato i rischi delle applicazioni non aggiornate.
Nel settembre 2025 sono state divulgate due nuove vulnerabilità, CVE-2025-41248 e CVE-2025-41249. Queste falle interessano Spring Framework e Spring Security e riguardano il rilevamento errato delle annotazioni di sicurezza in alcune gerarchie di classi, il che può portare a bypass dell’autorizzazione o esposizione di dati sensibili.
Con oltre 35.000 nuove CVE già registrate dal NIST quest’anno, i team di cybersecurity affrontano una pressione crescente per restare al passo. L’exploit delle vulnerabilità rimane il principale vettore di attacco e, con l’aumento della sofisticazione delle minacce informatiche, la rilevazione proattiva è essenziale per ridurre la superficie di attacco e mitigare i rischi.
Iscriviti alla SOC Prime Platform per accedere al feed globale delle minacce attive, che offre intelligence sulle minacce informatiche in tempo reale e algoritmi di rilevazione curati per affrontare le minacce emergenti. Tutte le regole sono compatibili con diversi formati SIEM, EDR e Data Lake e mappate al framework MITRE ATT&CK®. Inoltre, ogni regola è arricchita con link CTI, timeline degli attacchi, configurazioni di audit, raccomandazioni per il triage e altro contesto rilevante. Premi il pulsante Esplora i Rilevamenti per vedere l’intero stack di rilevazione per una difesa proattiva contro le vulnerabilità critiche filtrate per il tag “CVE”.
Gli ingegneri della sicurezza possono anche sfruttare Uncoder AI, un IDE e co-pilot per il detection engineering, ora potenziato con una nuova modalità AI Chat Bot e strumenti MCP. Con Uncoder, i defender possono convertire immediatamente gli IOC in query di hunting personalizzate, creare codice di rilevazione da report di minacce grezzi, generare diagrammi Attack Flow, abilitare la previsione dei tag ATT&CK, sfruttare l’ottimizzazione AI delle query e tradurre contenuti di rilevazione su più piattaforme.
Analisi di CVE-2025-41248 e CVE-2025-41249
Le nuove vulnerabilità CVE-2025-41248 e CVE-2025-41249 in Spring Security e Spring Framework evidenziano come i difetti nel rilevamento delle annotazioni possano compromettere le difese enterprise. Entrambe le vulnerabilità sono legate all’incapacità di Spring di risolvere coerentemente le annotazioni sui metodi all’interno di gerarchie di tipi che utilizzano supertipi parametrizzati con generici non vincolati. Questo può far sì che le annotazioni di sicurezza a livello di metodo, inclusa @PreAuthorize, vengano ignorate, lasciando i metodi protetti accessibili a utenti non autorizzati.
CVE-2025-41248 interessa Spring Security dalla versione 6.4.0 alla 6.4.9 e dalla 6.5.0 alla 6.5.3, dove il framework potrebbe non rilevare le annotazioni di sicurezza a livello di metodo in superclassi o interfacce generiche, causando accessi non autorizzati. CVE-2025-41249 è una falla strettamente correlata nel Spring Framework stesso, che interessa le versioni 6.2.0-6.2.10, 6.1.0-6.1.22 e 5.3.0-5.3.44, oltre alle versioni precedenti non supportate. In questo caso, il framework non riconosce coerentemente le annotazioni dichiarate sui metodi nelle gerarchie di tipo generico, il che può portare a bypass dell’autorizzazione.
Sono esposte solo le applicazioni che abilitano la sicurezza a livello di metodo con @EnableMethodSecurity e fanno affidamento su annotazioni collocate su interfacce o superclassi generiche. Il rischio è significativo per questi progetti. Gli attaccanti potrebbero accedere a dati sensibili o eseguire logiche aziendali al di fuori dei controlli previsti, senza bypassare l’autenticazione.
Il team di Spring ha rilasciato versioni patchate per risolvere le vulnerabilità CVE-2025-41248 e CVE-2025-41249, e l’aggiornamento immediato è fortemente raccomandato.
Versioni patchate:
- Spring Security: 6.4.10, 6.5.4
- Spring Framework: 6.2.11, 6.1.23, 5.3.45
Per le organizzazioni che non possono aggiornare immediatamente, l’avviso suggerisce di dichiarare tutti i metodi target protetti direttamente nella loro classe target come mitigazione temporanea.
Poiché le vulnerabilità nei software ampiamente utilizzati continuano a crescere, le organizzazioni sono invitate ad adottare pratiche di sicurezza proattive, come una gestione coerente delle patch e il monitoraggio costante di attività anomale, per proteggersi dalle minacce emergenti. SOC Prime fornisce ai team di sicurezza una suite completa di prodotti supportata da AI, automazione e threat intelligence in tempo reale, basata su principi di sicurezza zero-trust, per consentire alle organizzazioni di contrastare le minacce emergenti e migliorare la resilienza informatica.
