СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
27.05.2025

Уязвимость BDU:2025-13430

Уязвимость BDU:2025-13430

Идентификатор: BDU:2025-13430.

Наименование уязвимости: Уязвимость библиотеки для создания API-шлюзов Spring Cloud Gateway, связанная с недостатками формирования HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling).

Описание уязвимости: Уязвимость библиотеки для создания API-шлюзов Spring Cloud Gateway связана с недостатками формирования HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, пересылать заголовки X-Forwarded-For и Forwarded с недоверенных прокси-серверов
Уязвимое ПО: Сетевое средство, Сетевое программное средство VMware Inc. Spring Cloud Gateway Server от 2.2.10.RELEASE до 4.2.2 включительно | Сетевое средство, Сетевое программное средство VMware Inc. Spring Cloud Gateway Server 4.3.0-M1 | Сетевое средство, Сетевое программное средство VMware Inc. Spring Cloud Gateway Server 4.3.0-M2 | Сетевое средство, Сетевое программное средство VMware Inc. Spring Cloud Gateway Server 4.3.0-RC1 | Сетевое средство, Сетевое программное средство VMware Inc. Spring Cloud Gateway Server MVC от 4.1.7 до 4.2.2 включительно | Сетевое средство, Сетевое программное средство VMware Inc. Spring Cloud Gateway Server MVC 4.3.0-M1 | Сетевое средство, Сетевое программное средство VMware Inc. Spring Cloud Gateway Server MVC 4.3.0-M2 | Сетевое средство, Сетевое программное средство VMware Inc. Spring Cloud Gateway Server MVC 4.3.0-RC1 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 27.05.2025.
CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:C/A:N
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,6)

Возможные меры по устранению:
Использование рекомендаций:
https://spring.io/security/cve-2025-41235.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2025-41235.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://spring.io/security/cve-2025-41235

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: