「Spring WebFlux」をベースに構築されたAPIゲートウェイ「Spring Cloud Gateway Server WebFlux」に深刻な脆弱性が明らかとなった。アップデートが提供されている。
現地時間2025年9月8日にセキュリティアドバイザリを公開し、脆弱性「CVE-2025-41243」について明らかにしたもの。
「actuatorエンドポイント」が公開されている場合など、特定の条件下においてリモートより認証を必要とすることなくシステムにおける設定の改ざんが可能となる。
「同4.3.x」「同4.2.x」「同4.1.x」「同4.0.x」「同3.1.x」に影響があり、すでにサポートが終了しているバージョンも影響を受けるという。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは、最高値である「10.0」と評価。重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。
開発チームでは、脆弱性を修正した「同4.3.1」「同4.2.5」「同4.1.11」「同3.1.11」をリリース。利用者に対してアップデートするよう求めた。あわせて脆弱性の緩和策についてアナウンスしている。
(Security NEXT – 2025/09/09 )
ツイート
関連リンク
CVE-2025-41243:Spring Expression Language property modification using Spring Cloud Gateway Server WebFlux
Broadcom
PR
関連記事
「HashiCorp Vault」に脆弱性 – 複雑なJSON処理でDoS状態に
C言語向けライブラリ「cJSON」に脆弱性 – 重要度「クリティカル」
DjangoフレームワークにSQLi脆弱性 – アップデートで修正
「MS Edge 140」が公開 – 独自修正含む脆弱性5件に対処
Pixarの3D記述フレームワーク「OpenUSD」に深刻な脆弱性 – PoCも公開
「Sitecore」や「Linuxカーネル」の脆弱性悪用に注意喚起 – 米当局
「Android」の2025年9月パッチが公開 – ゼロデイ脆弱性2件を解消
「MS Edge」にアップデート – 「クリティカル」脆弱性を解消
コンテナセキュ基盤「NeuVector」に脆弱性 管理者パスワードの変更を
「ImageMagick」に脆弱性 – 不特定多数の画像処理で影響大