Spring Security – Autorisierungs-Bypass durch fehlerhafte Annotationserkennung (CVE-2025-22223)
Am 19. März 2025 wurde eine mittelschwere Sicherheitslücke (CVE-2025-22223, CVSS 5.3) in Spring Security veröffentlicht. Die Lücke betrifft Anwendungen, die @EnableMethodSecurity nutzen und Methoden mit Sicherheitsannotationen auf parametrisierten Typen oder geerbten Methoden versehen haben – ohne direkte Annotation auf der Zielmethode. In diesem Fall kann es zu einem Autorisierungs-Bypass kommen. Betroffen ist Spring Security 6.4.0 – 6.4.3. Ein Update auf 6.4.4 wird empfohlen.
Workaround: Annotationen direkt auf Zielmethoden setzen oder einen benutzerdefinierten AuthorizationManagerBeforeMethodInterceptor implementieren.