Sicherheitsupdate: Unbefugte Zugriffe auf Spring Boot möglich
Admins sollten Softwareentwicklungsumgebungen mit Spring Boot aus SicherheitsgrĂĽnden auf den aktuellen Stand bringen.
(Bild: Alfa Photo/Shutterstock.com)
Angreifer können unter bestimmten Bedingungen an einer Sicherheitslücke in Spring Boot ansetzen und sich unrechtmäßigen Zugriff verschaffen. Mittlerweile haben die Entwickler die Schwachstelle geschlossen.
Sicherheitsproblem
Softwareentwickler nutzen Spring Boot zum effizienteren Erstellen von Java-Applikationen. Damit Angreifer an der Lücke (CVE-2025-22235 „hoch“) ansetzen zu können, müssen aber mehrere Voraussetzungen erfüllt sein. Unter anderem muss Spring Security eingesetzt werden und mit EndpointRequest.to () konfiguriert sein.
Videos by heise
Ist das gegeben, können Angreifer die Schwachstelle ausnutzen. Wie so ein Angriff ablaufen könnte, ist bislang unklar. In der Warnmeldung gibt es keine Hinweise, dass es bereits Attacken gibt. Admins sollten aber nicht zu lange mit der Installation des Sicherheitsupdates warten. Folgende Versionen sind den Entwicklern zufolge gegen den geschilderten Angriff gerüstet. Alle vorigen Aussagen sollen verwundbar sein.
- 2.7.25
- 3.1.16
- 3.2.14
- 3.3.11
- 3.4.5
Betroffen ist Spring Boot und nicht wie in einer frĂĽheren Version dieser Meldung geschrieben VMware Tanzu Spring Boot.
(des)
