CVE-2025-41248

Contournement d’autorisation dans Spring Security via les génériques non bornés

Une faille, identifiée sous la référence CVE-2025-41248, affecte Spring Security. Elle résulte d’une mauvaise gestion des annotations sur les méthodes au sein de hiérarchies de types possédant un super type paramétré avec des génériques non bornés. Cette situation peut permettre un contournement des autorisations lors de l’utilisation d’annotations comme @PreAuthorize pour la sécurité des méthodes.

Ce problème impacte les applications qui utilisent la fonctionnalité @EnableMethodSecurity de Spring Security. Si les annotations de sécurité ne sont pas correctement reconnues sur les méthodes des superclasses ou interfaces génériques, un accès non autorisé à des points d’extrémité protégés peut se produire.

Points clés :

• Une mauvaise résolution des annotations dans les hiérarchies de types avec des super types paramétrés et des génériques non bornés.
• Impact sur la fonctionnalité @EnableMethodSecurity de Spring Security.
• Risque de contournement d’autorisation sur des points d’extrémité sécurisés.

Vulnérabilités :

• CVE-2025-41248 : Contournement d’autorisation dans Spring Security.

Recommandations :

• Mettre à jour Spring Security vers les versions corrigées correspondantes.
• En cas d’impossibilité de mise à jour immédiate, une solution de contournement consiste à s’assurer que toutes les méthodes cibles sécurisées sont déclarées dans leur classe cible.

Source