一、 漏洞 CVE-2025-41232 基础信息
漏洞信息
                                        #  CVE-2025-41232: Spring Security 私有方法上针对方法安全注解的授权绕过漏洞

## 概述
Spring Security Aspects 可能无法正确识别私有方法上的方法安全性注解,从而导致授权旁路漏洞。

## 影响版本
暂无具体版本信息。

## 细节
如果满足以下条件,您的应用程序可能会受到此漏洞的影响:
- 您使用了 `@EnableMethodSecurity(mode=ASPECTJ)` 和 `spring-security-aspects`。
- 您在私有方法上使用了 Spring Security 方法注解。

在此情况下,目标方法可能在没有适当授权的情况下被调用。

如果满足以下条件,您的应用程序不会受此漏洞影响:
- 您没有使用 `@EnableMethodSecurity(mode=ASPECTJ)` 或 `spring-security-aspects`。
- 您没有在私有方法上使用 Spring Security 注解。

## 影响
应用程序的方法安全性可能会被绕过,导致未经授权的访问。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
CVE-2025-41232: Spring Security authorization bypass for method security annotations on private methods
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Spring Security Aspects may not correctly locate method security annotations on private methods. This can cause an authorization bypass. Your application may be affected by this if the following are true: * You are using @EnableMethodSecurity(mode=ASPECTJ) and spring-security-aspects, and * You have Spring Security method annotations on a private method In that case, the target method may be able to be invoked without proper authorization. You are not affected if: * You are not using @EnableMethodSecurity(mode=ASPECTJ) or spring-security-aspects, or * You have no Spring Security-annotated private methods
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
VMware Spring Security 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
VMware Spring Security是美国威睿(VMware)公司的一套为基于Spring的应用程序提供说明性安全保护的安全框架。 VMware Spring Security 6.4.0至6.4.5版本存在安全漏洞,该漏洞源于未正确定位私有方法上的安全注解,可能导致授权绕过。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-41232 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-41232 的情报信息