Spring-Security: Authorisation Bypass Sicherheitslücke CVE-2025-41232

Spring Security hat kürzlich eine Sicherheitslücke identifiziert, die eine unberechtigte Autorisierung ermöglichen kann. Die Schwachstelle CVE-2025-41232 betrifft speziell die Methode zur Absicherung privater Methoden mithilfe der Annotationen in Verbindung mit AspectJ.

Betroffen sind Anwendungen, die Spring Security Versionen 6.4.0 bis einschließlich 6.4.5 nutzen und gleichzeitig die Annotation @EnableMethodSecurity(mode=ASPECTJ) zusammen mit spring-security-aspects verwenden. In diesen Fällen können private Methoden mit Sicherheitsannotations möglicherweise unautorisiert aufgerufen werden.

Spring empfiehlt Nutzern der betroffenen Versionen dringend, auf die sichere Version 6.4.6 zu aktualisieren. Weitere Maßnahmen oder Workarounds sind nicht notwendig.

Related Posts

Sicherheitswarnung – Stack-Based Buffer Overflow in Fortinet-APIs (CVE-2025-32756)

In mehreren Fortinet-Produkten wurde eine schwerwiegende Stack-Overflow-Schwachstelle (CWE-121, CVSS 9.6 kritisch) entdeckt. Ein entfernter, nicht authentifizierter Angreifer kann speziell gestaltete HTTP-Anfragen senden, die zu einem Überlauf im API-Stack führen und beliebigen Code oder Systemkommandos mit den Rechten des HTTP-Daemons ausführen. Fortinet beobachtet bereits aktive Ausnutzung auf FortiVoice-Systemen.

Read More

Kritische Lücke CVE-2025-22252 in FortiOs, FortiProxy und Fortiswichtmanager entdeckt

In FortiOS, FortiProxy und FortiSwitchManager wurde eine kritische Sicherheitslücke (CVE-2025-22252, CVSS 9.0) entdeckt: Bei TACACS+-Authentifizierung gegen einen externen TACACS+-Server mit ASCII-Authentifizierung kann ein Angreifer, der bereits über Anmeldedaten eines Administrator-Kontos verfügt, die Zugangskontrolle umgehen und sich als gültiger Admin anmelden. Betroffen sind FortiOS 7.6.0 (Upgrade auf ≥ 7.6.1 empfohlen), FortiOS 7.4.4–7.4.6 (Upgrade auf ≥ 7.4.7), FortiProxy 7.6.0–7.6.1 (Upgrade auf ≥ 7.6.2) und FortiSwitchManager 7.2.5 (Upgrade auf ≥ 7.2.6). Systeme, die PAP, MSCHAP oder CHAP verwenden, sind nicht betroffen. Als kurzfristige Abhilfe kann die TACACS+-Konfiguration so angepasst werden, dass ASCII-Authentifizierung deaktiviert oder auf ein sicheres Verfahren umgestellt wird. Fortinet dankt den Entdeckern Cam B. und Matheus Maia für die verantwortungsvolle Meldung.

Read More

RCE und XSS Lücken in Broadcom ESXi und vCenter Server behoben

VMware hat ein wichtiges Sicherheitsupdate veröffentlicht, das mehrere Schwachstellen in VMware ESXi, vCenter Server, Workstation und Fusion adressiert. Unter der Advisory-ID VMSA-2025-0010 wurden insgesamt vier CVEs veröffentlicht, deren Schweregrade von moderat bis hoch reichen (CVSSv3 Scores zwischen 4.3 und 8.8).

Read More