Spring框架安全漏洞导致授权绕过和注解检测问题

Spring Security和Spring Framework中出现了两个严重漏洞，分别为CVE-2025-41248和CVE-2025-41249，攻击者可能利用这些漏洞绕过企业应用程序中的授权控制。

当将Spring Security的@EnableMethodSecurity特性与@PreAuthorize和@PostAuthorize等方法级注解结合使用时，会出现这些缺陷。

在服务接口或抽象基类使用无界泛型的应用中，注解检测机制可能无法定位到重写方法上的安全注解，从而导致未授权访问受保护的端点。

1. Spring Security 6.4.x/6.5.x 版本忽略方法级注解，导致（权限）绕过漏洞可被利用。

   （说明：“method-level annotations” 指 “方法级注解”，是 Spring 框架中用于声明权限控制、功能配置等规则的代码标记；“enabling bypass” 意为该缺陷使得攻击者能够绕过系统的权限校验等安全控制机制。）

2. Spring Framework 5.3.x/6.1.x/6.2.x 版本无法检测（相关）注解。

   （说明：“Spring Framework” 是 Java 生态中主流的应用开发框架，此处缺陷指框架未能正常识别和执行注解所定义的逻辑，可能导致安全控制、功能配置等失效。）

3. 请升级至已修复漏洞的版本，或在具体实现类（concrete classes）上重新声明注解。

   （说明：“concrete classes” 指 “具体类”，即已实现所有抽象方法、可直接实例化的类；“redeclare annotations” 是临时修复方案，通过在具体类而非抽象类 / 接口上重新添加注解，确保框架能正常检测并执行相关规则。）

权限绕过和注释检测漏洞均被归类为中等严重程度，影响范围广泛，涉及Spring Security和Spring Framework的多个版本，涵盖5.x到6.x的发布系列。

权限绕过漏洞（CVE-2025-41248）

CVE-2025-41248针对的是Spring Security 6.4.0至6.4.9版本以及6.5.0至6.5.3版本。

当参数化的超类定义了受保护的方法签名，而子类未能重新声明相关注解时，框架的元数据解析器无法正确遍历泛型类型层次结构。

攻击者可能会利用这一逻辑漏洞，通过调用仅在通用接口上定义的受保护操作，绕过依赖@PreAuthorize(“hasRole(‘ADMIN’)”)或类似SpEL表达式的授权检查。

该漏洞的CVSS 3.1基础评分为6.5（AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N）。

注解检测漏洞（CVE-2025-41249）

CVE-2025-41249影响Spring Framework核心模块的5.3.0至5.3.44版本、6.1.0至6.1.22版本以及6.2.0至6.2.10版本。

在这种情况下，注释检测缺陷会阻碍对在通用基类上定义的、用于授权或审计的任何方法注释的识别。

如果没有注解元数据，Spring Security就无法实施方法级别的安全约束。

这两个漏洞均源于在注解内省期间对无界泛型的处理不当，导致运行时忽略安全元数据，并将敏感的服务方法视为未受保护。

缓解措施

Spring 维护人员已为所有受影响的模块发布了修复版本。对于 Spring Security，用户应升级至 6.4.10 或 6.5.4。

对于Spring Framework，推荐的升级版本为5.3.45、6.1.23和6.2.11。完整的缓解措施详情可在Spring Security公告和RSS订阅中查看。

无法立即升级的团队可以通过在具体类中直接声明所有受保护的方法，而不是依赖从泛型超类继承的注解，来实施临时解决方法。

确保在每个实现类上一致使用@PreAuthorize、@PostAuthorize和其他方法安全注解，将能防止绕过行为。

开发团队应检查其服务接口，查看是否在泛型中使用了@EnableMethodSecurity。

静态分析工具和自定义注解扫描脚本应更新，以正确检测跨类型层次结构的带注解方法。

安全团队必须优先对CI/CD流水线进行这些升级，以避免受保护的API被无意中暴露。对方法级安全性的持续验证，再结合侧重于通用服务模式的代码审查，将加强授权执行并防范类似漏洞。