2025年5月19日、Spring Frameworkの開発チームはセキュリティアドバイザリを公開し、Spring Securityにおける認証バイパスの脆弱性(CVE-2025-41232)の存在を明らかにしました。本脆弱性は認証・認可に関わるメソッドレベルのセキュリティ注釈(アノテーション)がプライベートメソッドに対して正しく機能しないという問題です。
脆弱性の影響範囲
今回報告されたCVE-2025-41232は、Spring Securityのバージョン6.4.0から6.4.5までのバージョンが影響を受けることが確認されています。
これらのバージョンでは、@EnableMethodSecurity(mode=ASPECTJ) を使用し、かつ spring-security-aspects モジュールを導入している場合に、privateメソッドに付与されたセキュリティアノテーションが正しく機能せず、認可バイパスが発生する可能性があります。
脆弱性の対処バージョン
この脆弱性に対する修正は、バージョン6.4.6にて提供されています。
同バージョンでは、AspectJベースのメソッドセキュリティにおいて、privateメソッドのアノテーション検出処理が適切に見直されており、認可漏れが発生しないよう対応が施されています。影響を受ける環境を運用している場合は、早急なアップグレードが推奨されます。
影響のある構成と条件
この脆弱性は、以下の条件がすべて揃っている場合に発生する可能性があります。
-
@EnableMethodSecurity(mode = ASPECTJ)を使用している -
spring-security-aspectsモジュールを導入している -
Spring Securityのメソッドセキュリティアノテーションをprivateメソッドに付与している
このような構成の場合、対象のprivateメソッドは想定される認可チェックを受けずに実行される可能性があり、不正アクセスのリスクが生じます。
影響を受けないケース
以下に該当する場合は本脆弱性の影響を受けません。
-
@EnableMethodSecurity(mode = ASPECTJ)またはspring-security-aspectsを使用していない -
セキュリティアノテーションが付与されたprivateメソッドが存在しない
関連記事
Javaの人気フレームワークSpring Frameworkで重大な脆弱性(CVE-2024-38816)
Juniper(ジュニパー)深刻な脆弱性で緊急アップデートをリリース(CVE-2024-2973)
JenkinsのDockerイメージにSSHホストキー再利用の脆弱性(CVE-2025-32754,CVE-2025-32755)
Spring Frameworkの脆弱性を利用したPoCエクスプロイトが公開(CVE-2024-38819)
WordPressのプラグイン「The Events Calendar」でSQLインジェクションの脆弱性が発見(CVE-2024-8275)
AppleのUSB制限モードが回避される深刻な脆弱性、極めて高度な攻撃で悪用が可能(CVE-2025-24200)
主要なLLMに有効なプロンプト インジェクション「Policy Puppetry」-サイバー攻撃への悪用が容易
Omiaiの公式 SNSアカウントが乗っ取り被害、約2時間で復旧 エニトグループが謝罪と報告
100万以上ダウンロードされている、Node.jsライブラリ「xml-crypto」に深刻な脆弱性(CVE-2025-29774, CVE-2025-29775)
