Ir al contenido principal

Spring corrige vulnerabilidades críticas en su Framework y en Spring Security

 

Logo Spring 

El equipo de Spring ha publicado actualizaciones de seguridad urgentes para Spring Framework y Spring Security, destinadas a resolver dos vulnerabilidades de severidad alta (CVE-2025-41248 y CVE-2025-41249) relacionadas con la validación de anotaciones de seguridad en métodos heredados.

El origen del problema

Spring permite proteger métodos mediante anotaciones como @PreAuthorize o @Secured. Sin embargo, los investigadores descubrieron que, en determinadas circunstancias, estas anotaciones podían pasar inadvertidas cuando se utilizaban en clases o interfaces genéricas (con generics) que servían de superclase.
El resultado: métodos que deberían estar restringidos quedaban accesibles sin verificación de permisos, un escenario ideal para que un atacante eludiera los controles de acceso.

Versiones afectadas

  • Spring Security: ramas 6.4.0 a 6.4.9 y 6.5.0 a 6.5.3

  • Spring Framework: versiones 6.2.0 a 6.2.10, 6.1.0 a 6.1.22 y 5.3.0 a 5.3.44

Los proyectos que utilizan @EnableMethodSecurity y que dependen de anotaciones de seguridad en clases genéricas son los más expuestos.

Actualizaciones disponibles

  • Spring Security ha solucionado el fallo en las versiones 6.4.10 y 6.5.4.

  • Spring Framework incorpora la corrección en la versión 6.2.11 (y en los parches de mantenimiento 6.1.x y 5.3.x para clientes de soporte comercial).

Los responsables del proyecto recomiendan actualizar de inmediato. Si una actualización inmediata no es posible, se aconseja trasladar las anotaciones de seguridad a las clases concretas que exponen los métodos, evitando que la herencia genérica cause confusión en la detección de anotaciones.

Lecciones para los equipos de desarrollo

Este incidente subraya la importancia de auditar la configuración de seguridad y las dependencias de manera continua. La combinación de herencia, genéricos y anotaciones puede generar comportamientos sutiles que los tests convencionales no siempre detectan.
Integrar escáneres de dependencias en los flujos de CI/CD y realizar pruebas de autorización automatizadas son prácticas recomendadas para mitigar este tipo de riesgos.

Conclusión
Las nuevas versiones de Spring corrigen una debilidad que, de no atenderse, podría abrir la puerta a accesos no autorizados en aplicaciones críticas. Para cualquier equipo que utilice Spring en entornos de producción, actualizar es una prioridad inmediata para mantener la integridad y la confidencialidad de sus sistemas.

Labels:
Location: Bogotá, Colombia

Comentarios

Publicar un comentario

Entradas Populares

Renombrar una columna en Oracle: Guía rápida y sencilla 💻

¡Hola a todos! En el mundo de las bases de datos, es común necesitar hacer ajustes en la estructura de las tablas, y una de las tareas más frecuentes es renombrar una columna. Ya sea por un error tipográfico, una mejora en la nomenclatura o un cambio en los requisitos, saber cómo hacerlo de manera eficiente es fundamental. Afortunadamente, Oracle facilita esta tarea con una sintaxis simple y directa. A continuación, te muestro cómo puedes renombrar una columna de una tabla en un solo paso. La sintaxis para renombrar una columna Para cambiar el nombre de una columna, utilizamos la sentencia ALTER TABLE . Esta es la forma más segura y recomendada de modificar la estructura de una tabla sin afectar los datos existentes. ALTER TABLE <nombre_de_la_tabla> RENAME COLUMN <nombre_antiguo_del_campo> TO <nuevo_nombre_del_campo>; COMMIT; Análisis de la sintaxis: ALTER TABLE <nombre_de_la_tabla> : Esta parte de la sentencia le indica a Oracle que vas a modificar la estructur...
2 comentarios
Continuar con el artículo

¿Tu PC no puede instalar la actualización KB5034441? No te preocupes, aquí tienes la solución y la explicación

Sabemos que iniciar el 2024 con problemas técnicos no es lo ideal. Si has intentado instalar la reciente actualización KB5034441 y te has encontrado con el frustrante error 0x80070643 , no estás solo. Este problema ha afectado a muchos usuarios y puede causar una gran confusión, especialmente cuando la descarga parece ir bien, pero la instalación se detiene en 0%. En este artículo, vamos a desglosar qué es lo que está causando este error, por qué no es tan grave como parece y qué pasos puedes seguir para manejarlo. Mensaje de Error Entendiendo el error 0x80070643 en la actualización KB5034441 La actualización KB5034441 está diseñada para reforzar la seguridad de tu entorno de recuperación de Windows (Windows Recovery Environment, WinRE), especialmente para aquellos que utilizan la función de cifrado de disco BitLocker. La intención es buena, pero la implementación ha revelado un problema para ciertos sistemas. El código de error 0x80070643 se traduce como ERROR_INSTALL_FAILURE , y e...
Publicar un comentario
Continuar con el artículo