Risolta vulnerabilità in prodotti Spring (AL05/251016/CSIRT-ITA)

Data:
16 Ottobre 2025

Impatto Sistemico

Medio (63.46)

Sintesi

Aggiornamenti di sicurezza risolvono una vulnerabilità con gravità “alta” in Spring Cloud Gateway. Tali vulnerabilità potrebbero consentire a un utente malintenzionato di accedere a informazioni sensibili sui sistemi interessati.

Tipologia

Information Disclosure

Prodotti e versioni affette

Spring Cloud Gateway

4.3.x, versioni precedenti alla 4.3.2
4.2.x, versioni precedenti alla 4.2.6
4.1.x, versioni precedenti alla 4.1.12
4.0.x
3.1.x, versioni precedenti alla 3.1.12
tutte le versioni precedenti non più supportate

N.B. Si evidenzia che i prodotti elencati risultano vulnerabili solo in specifiche circostanze indicate nel relativo bollettino di sicurezza.

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.

N.B. Si evidenzia che per la versioni 4.0.x del prodotto elencate il vendor non rilascerà alcuna patch considerata la relativa data di fine supporto (EoL)

Riferimenti

https://spring.io/security/cve-2025-41253

CVE

CVE-ID
CVE-2025-41253

Change log

Versione	Note	Data
1.0	Pubblicato il 16-10-2025	16/10/2025

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link

Ultimo aggiornamento

16 Ottobre 2025, 13:40

CSIRT Toscana

CSIRT Toscana