CVE-2025-22235: 如果 actuator 端点未暴露,Spring Boot EndpointRequest.to() 会创建错误的匹配器

MEDIUM | 2025 年 4 月 24 日 | CVE-2025-22235

描述

如果创建 EndpointRequest 的 actuator 端点被禁用或未暴露,则 EndpointRequest.to() 会为 null/** 创建一个匹配器。

如果满足以下所有条件,您的应用程序可能会受到影响

  • 您使用 Spring Security
  • EndpointRequest.to() 已在 Spring Security 链配置中使用
  • EndpointRequest 引用的端点已禁用或未通过 web 暴露
  • 您的应用程序处理对 /null 的请求,并且此路径需要保护

如果以下任何一项为真,则您不会受到影响

  • 您不使用 Spring Security
  • 您不使用 EndpointRequest.to()
  • EndpointRequest.to() 引用的端点已启用并已暴露
  • 您的应用程序不处理对 /null 的请求,或者此路径不需要保护

受影响的 Spring 产品和版本

Spring Boot

  • 2.7.0 - 2.7.24.2
  • 3.1.0 - 3.1.15.2
  • 3.2.0 - 3.2.13.2
  • 3.3.0 - 3.3.10
  • 3.4.0 - 3.4.4
  • 较旧的不受支持的版本也会受到影响

缓解措施

受影响版本的用户应升级到相应的修复版本。

受影响的版本 修复版本 可用性
2.7.x 2.7.25 仅企业支持
3.1.x 3.1.16 仅企业支持
3.2.x 3.2.14 仅企业支持
3.3.x 3.3.11 OSS
3.4.x 3.4.5 OSS

如果您无法升级,您可以选择

  • 确保 EndpointRequest.to() 引用的端点已启用并已通过 web 暴露
  • 确保您不处理对 /null 的请求

致谢

此漏洞由 Janek Bettinger 发现并负责任地报告 ([email protected]).

参考文献

抢先一步

VMware 提供培训和认证,以加速您的进步。

了解更多

获得支持

Tanzu Spring 在一个简单的订阅中提供 OpenJDK™、Spring 和 Apache Tomcat® 的支持和二进制文件。

了解更多

即将举行的活动

查看 Spring 社区中所有即将举行的活动。

查看全部