Spring Cloud Gateway 环境属性修改漏洞(CVE-2025-41243)

北京赛克艾威科技有限公司 2025-09-08

  • 漏洞编号:CVE-2025-41243
  • 漏洞等级:严重
  • 漏洞标签:关键漏洞、影响百万级、技术细节公开、在野利用、奇安信CERT验证、POC公开
  • 发布时间:2025-09-08

漏洞描述

该漏洞源于 Spring Cloud Gateway 的 SpEL 表达式​​安全校验机制存在缺陷​,攻击者可通过暴露的 Actuator 端点,通过修改系统属性(如禁用 restrictive\-property\-accessor)来读取环境变量等敏感信息。

修复建议

暂无

参考链接

https://ti.qianxin.com/vulnerability/detail/420118