Spring SecurityとFrameworkで注釈解決不備で認可回避の脆弱性(CVE-2025-41248/41249)

セキュリティニュース

投稿日時: 更新日時:

Spring SecurityとFrameworkで注釈解決不備で認可回避の脆弱性(CVE-2025-41248/41249)

2025年9月、Springチームは、メソッドレベルのセキュリティ注釈(@PreAuthorize など)が特定条件で正しく評価されず、結果として認可チェックをすり抜ける可能性がある不具合を公表しました。

問題は「型階層における無境界ジェネリクスを含むパラメータ化されたスーパタイプ」を介した注釈解決に起因し、Spring Security側の不具合(CVE-2025-41248)と、基盤となるSpring Framework側の不具合(CVE-2025-41249)が対となって発生しています。

影響を受ける利用形態

  • @EnableMethodSecurity を有効化している。

  • セキュリティ注釈をジェネリックな抽象クラス/インターフェース側に付与している。

  • 反対に、@EnableMethodSecurity を使っていない、あるいは注釈を最終的なターゲットクラスのメソッド側に明示している場合、この不具合の影響は受けません。

対象バージョンと修正バージョン

Spring Security(CVE-2025-41248)

  • 影響バージョン:6.4.0–6.4.9, 6.5.0–6.5.3

  • 修正バージョン:6.4.10, 6.5.4

Spring Framework(CVE-2025-41249)

  • 影響バージョン:6.2.0–6.2.10, 6.1.0–6.1.22, 5.3.0–5.3.44(および旧サポート外)

  • 修正バージョン:6.2.11(OSS), 6.1.23(Commercial), 5.3.45(Commercial)

実務への影響

注釈で守られている前提のメソッドが、特定の継承構造・型パラメータの組み合わせ下で無保護で実行される可能性があります。たとえば「管理者のみ実行可」のビジネス操作(入金処理、ステータス変更、エクスポートなど)を、権限の低いユーザーが呼べてしまうリスクがあり、水平・垂直権限昇格の温床になり得ます。