CVE-2025-41243

Nome do Software Vulnerável e Versões Afetadas Spring Cloud Gateway Server Webflux (versões afetadas não especificadas)

Descrição O Spring Cloud Gateway Server Webflux pode permitir que um atacante modifique propriedades do Spring Environment. Isso é possível quando o Spring Boot actuator é uma dependência, o endpoint web do actuator do Spring Cloud Gateway Server Webflux está habilitado via management.endpoints.web.exposure.include=gateway, os endpoints do actuator estão acessíveis aos atacantes e não estão protegidos. A exploração bem-sucedida pode levar à modificação de propriedades dentro do contexto da rota, potencialmente habilitando ataques de Server-Side Request Forgery (SSRF) e Remote File Inclusion (RFI), permitindo acesso a informações sensíveis e ao sistema de arquivos. O problema origina-se de complicações no contexto de avaliação da Spring Expression Language (SpEL).

Recomendações Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.