CVE-2025-41248 & CVE-2025-41249: Vulnerabilidades no Spring Framework e Spring Security permitem bypass de autorização e exposição de dados sensíveis
O Spring Framework é um framework Java leve, amplamente utilizado para construir aplicações corporativas escaláveis. Ele é frequentemente combinado com o Spring Security para aplicar controles de autorização e acesso em nível de método. Como muitos sistemas corporativos dependem do Spring, qualquer vulnerabilidade que afete o framework pode ter um impacto amplo, como demonstrado pelo Spring4Shell (CVE-2022-22965), uma vulnerabilidade crítica de execução remota de código que evidenciou os riscos de aplicações não atualizadas.
Em setembro de 2025, duas novas vulnerabilidades, CVE-2025-41248 e CVE-2025-41249, foram divulgadas. Essas falhas afetam o Spring Framework e o Spring Security e envolvem a detecção incorreta de anotações de segurança em determinadas hierarquias de classes, podendo levar à violação de autorização ou exposição de dados sensíveis.
Com mais de 35.000 novos CVEs registrados pelo NIST apenas neste ano, as equipes de cibersegurança enfrentam uma pressão crescente para se manter à frente. A exploração de vulnerabilidades continua sendo o principal vetor de ataque, e, à medida que as ameaças cibernéticas se tornam mais sofisticadas, a detecção proativa é essencial para reduzir a superfície de ataque e mitigar riscos.
Inscreva-se na plataforma SOC Prime para acessar o feed global de ameaças ativas, que oferece inteligência de ameaças cibernéticas em tempo real e algoritmos de detecção curados para lidar com ameaças emergentes. Todas as regras são compatíveis com múltiplos formatos de SIEM, EDR e Data Lake, e estão mapeadas para o framework MITRE ATT&CK®. Além disso, cada regra é enriquecida com links de CTI, linhas do tempo de ataques, configurações de auditoria, recomendações de triagem e outros contextos relevantes. Clique no botão Explorar Detecções para visualizar toda a pilha de detecção para defesa proativa contra vulnerabilidades críticas filtradas pela tag “CVE”.
Os engenheiros de segurança também podem utilizar o Uncoder AI, um IDE e co-piloto para engenharia de detecção, agora aprimorado com um novo modo de AI Chat Bot e suporte às ferramentas MCP. Com o Uncoder, os defensores podem converter IOCs instantaneamente em queries de hunting personalizadas, criar código de detecção a partir de relatórios de ameaças brutos, gerar diagramas de fluxo de ataque (Attack Flow), habilitar predição de tags ATT&CK, otimizar queries com AI e traduzir conteúdo de detecção entre múltiplas plataformas.
Análise de CVE-2025-41248 & CVE-2025-41249
As vulnerabilidades recém-divulgadas CVE-2025-41248 e CVE-2025-41249 no Spring Security e Spring Framework destacam como falhas na detecção de anotações podem comprometer a defesa corporativa. Ambas estão relacionadas à incapacidade do Spring de resolver consistentemente anotações em métodos dentro de hierarquias de tipos que usam supertipos parametrizados com genéricos não limitados. Isso pode fazer com que anotações de segurança em nível de método, incluindo @PreAuthorize, sejam ignoradas, deixando métodos protegidos acessíveis a usuários não autorizados.
CVE-2025-41248 afeta o Spring Security versões 6.4.0 a 6.4.9 e 6.5.0 a 6.5.3, onde o framework pode não detectar anotações de segurança em métodos de superclasses ou interfaces genéricas, resultando em acesso não autorizado. CVE-2025-41249 é uma falha relacionada no próprio Spring Framework, impactando as versões 6.2.0 a 6.2.10, 6.1.0 a 6.1.22 e 5.3.0 a 5.3.44, bem como versões antigas não suportadas. Nesse caso, o framework não reconhece consistentemente anotações declaradas em métodos de hierarquias de tipos genéricos, podendo levar a bypass de autorização.
Apenas aplicações que habilitam segurança em nível de método com @EnableMethodSecurity e dependem de anotações em interfaces ou superclasses genéricas estão expostas. O risco é significativo para esses projetos. Atacantes podem acessar dados sensíveis ou executar lógica de negócio fora dos controles previstos, sem precisar burlar a autenticação.
A equipe do Spring lançou versões corrigidas abordando as falhas CVE-2025-41248 e CVE-2025-41249, sendo fortemente recomendada a atualização imediata.
Versões corrigidas:
- Spring Security: 6.4.10, 6.5.4
- Spring Framework: 6.2.11, 6.1.23, 5.3.45
Para organizações que não podem aplicar o patch imediatamente, o advisory sugere declarar todos os métodos protegidos diretamente na classe alvo como mitigação temporária.
À medida que vulnerabilidades em softwares amplamente utilizados continuam a aumentar, recomenda-se que as organizações adotem práticas de segurança proativas, como gestão consistente de patches e monitoramento contínuo de atividades incomuns, para se proteger contra ameaças emergentes. A SOC Prime oferece às equipes de segurança uma suíte completa de produtos apoiada por AI, automação e inteligência de ameaças em tempo real, baseada em princípios de segurança zero-trust, permitindo que as organizações enfrentem ameaças emergentes e aumentem a resiliência cibernética.
