7*24小时服务热线   021-20685566
it-support@shanghaitech.edu.cn

关于Spring Cloud Gateway表达式注入漏洞的风险提示

日期:2025-11-12文章来源:图书信息中心

一、背景介绍

近日监测到官方修复 Spring Cloud Gateway表达式注入漏洞(CVE-2025-41253)。

1.1漏洞描述

该漏洞源于官方对Spring Cloud Gateway环境属性修改漏洞(CVE-2025-41243)补丁修复不完善,Spring Cloud Gateway的SpEL表达式安全校验机制仍存在缺陷,攻击者可通过暴露的 Actuator端点,读取目标系统上的环境变量、系统属性等敏感信息。

1.2漏洞编号

CVE-2025-41253

1.3漏洞等级

高危

二、修复建议

2.1受影响的版本

4.3.0 <= Spring Cloud Gateway < 4.3.2

4.2.0 <= Spring Cloud Gateway < 4.2.6

4.1.0 <= Spring Cloud Gateway < 4.1.12

4.0.0 <= Spring Cloud Gateway < 4.0.12

3.1.0 <= Spring Cloud Gateway < 3.1.12

较旧的、不受支持的版本也会受到影响。

2.2修复建议

官方已发布安全补丁,请及时更新至最新版本:

Spring Cloud Gateway >= 4.3.2

Spring Cloud Gateway >= 4.2.6

Spring Cloud Gateway >= 4.1.12

Spring Cloud Gateway >= 4.0.12

Spring Cloud Gateway >= 3.1.12

下载地址:https://spring.io/projects/spring-cloud