Aggiornamenti per Spring Cloud Gateway Server (AL02/250530/CSIRT-ITA)
Data:
30 Maggio 2025 11:05
Impatto Sistemico
Medio (60.76)
Sintesi
Aggiornamenti di sicurezza risolvono una vulnerabilità in Spring Cloud Gateway Server, gateway API del progetto Spring Cloud. Tale vulnerabilità riguarda l’inoltro degli header “X-Forwarded-For” e “Forwarded” che potrebbero essere manipolati da utenti malintenzionati per evadere i meccanismi di protezione del sistema target.
Tipologia
- Spoofing
- Security Restrictions Bypass
Prodotti e versioni affette
Spring Cloud Gateway Server
- 3.1.x, versioni precedenti alla 3.1.10
- 4.0.x, versioni precedenti alla 4.0.12
- 4.1.x, versioni precedenti alla 4.1.8
- 4.2.x, versioni precedenti alla 4.2.3
- versioni 4.3.0-M1/M2/RC1
- tutte le versioni precedenti non più supportate
Spring Cloud Gateway Server MVC
- 4.1.x, versione 4.1.7
- 4.2.x, versioni precedenti alla 4.2.3
- versioni 4.3.0-M1/M2/RC1
- tutte le versioni precedenti non più supportate
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Riferimenti
CVE
CVE-ID |
---|
CVE-2025-41235 |
Change log
Versione | Note | Data |
---|---|---|
1.0 | Pubblicato il 30-05-2025 | 30/05/2025 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link