“Spring อุดช่องโหว่ SpEL และ STOMP CSRF — ป้องกันการรั่วไหลข้อมูลและการแฮ็ก WebSocket” — เมื่อเฟรมเวิร์กยอดนิยมของ Java ต้องรีบออกแพตช์เพื่อหยุดการโจมตีแบบใหม่
ทีม Spring ของ VMware Tanzu ได้ออกแพตช์ด่วนสำหรับช่องโหว่ 2 รายการที่ส่งผลกระทบต่อ Spring Cloud Gateway และ Spring Framework ซึ่งอาจเปิดช่องให้แฮ็กเกอร์เข้าถึงข้อมูลลับ หรือส่งข้อความ WebSocket โดยไม่ได้รับอนุญาต
ช่องโหว่แรกคือ CVE-2025-41253 เกิดจากการใช้ Spring Expression Language (SpEL) ในการกำหนด route ของแอปพลิเคชัน Spring Cloud Gateway Server Webflux โดยหากเปิด actuator endpoint แบบไม่ปลอดภัย และอนุญาตให้บุคคลภายนอกกำหนด route ได้ ก็อาจทำให้แฮ็กเกอร์อ่าน environment variables, system properties หรือแม้แต่ token และ API key ได้จาก runtime environment
ช่องโหว่ที่สองคือ CVE-2025-41254 เกิดใน Spring Framework ที่ใช้ STOMP over WebSocket ซึ่งอาจถูกใช้เพื่อส่งข้อความโดยไม่ผ่านการตรวจสอบ CSRF ทำให้แฮ็กเกอร์สามารถสื่อสารกับเซิร์ฟเวอร์แบบ real-time ได้โดยไม่ต้องมีสิทธิ์
Spring ได้ออกแพตช์สำหรับทั้งสองช่องโหว่แล้ว โดยแนะนำให้ผู้ใช้ที่ไม่สามารถอัปเดตทันที ให้ปิดการเข้าถึง actuator endpoint หรือเพิ่มการป้องกันให้ปลอดภัยมากขึ้น
Spring ออกแพตช์สำหรับช่องโหว่ CVE-2025-41253 และ CVE-2025-41254
ส่งผลกระทบต่อ Spring Cloud Gateway และ Spring Framework
CVE-2025-41253 เกิดจากการใช้ SpEL ใน route configuration
อาจทำให้แฮ็กเกอร์อ่านข้อมูลลับจาก environment ได้
เงื่อนไขที่ทำให้เกิดช่องโหว่: ใช้ Webflux, เปิด actuator endpoint, และอนุญาตให้กำหนด route ด้วย SpEL
ไม่ส่งผลกับ WebMVC
CVE-2025-41254 เกิดจาก STOMP over WebSocket ที่ไม่ตรวจสอบ CSRF
อาจถูกใช้ส่งข้อความโดยไม่ได้รับอนุญาต
Spring ออกแพตช์ในเวอร์ชัน OSS และ Commercial หลายรุ่น
เช่น 4.3.2, 4.2.6, 6.2.12, 5.3.46 เป็นต้น
มีคำแนะนำสำหรับผู้ที่ยังไม่สามารถอัปเดตทันที
เช่น ปิด actuator endpoint หรือเพิ่มการป้องกัน
แอปที่เปิด actuator endpoint โดยไม่ป้องกันมีความเสี่ยงสูง
อาจถูกใช้เพื่ออ่านข้อมูลลับจากระบบ
STOMP over WebSocket ที่ไม่ตรวจสอบ CSRF อาจถูกใช้โจมตีแบบ real-time
เหมาะกับระบบแชต, dashboard หรือ IoT ที่มีความอ่อนไหว
ผู้ใช้ Spring รุ่นเก่าอาจยังไม่ได้รับแพตช์
ต้องอัปเกรดหรือใช้วิธีป้องกันชั่วคราว
การใช้ SpEL โดยไม่จำกัดสิทธิ์อาจเปิดช่องให้รันคำสั่งอันตราย
ควรจำกัดการเข้าถึงและตรวจสอบ route configuration อย่างเข้มงวด
https://securityonline.info/spring-patches-two-flaws-spel-injection-cve-2025-41253-leaks-secrets-stomp-csrf-bypasses-websocket-security/
ทีม Spring ของ VMware Tanzu ได้ออกแพตช์ด่วนสำหรับช่องโหว่ 2 รายการที่ส่งผลกระทบต่อ Spring Cloud Gateway และ Spring Framework ซึ่งอาจเปิดช่องให้แฮ็กเกอร์เข้าถึงข้อมูลลับ หรือส่งข้อความ WebSocket โดยไม่ได้รับอนุญาต
ช่องโหว่แรกคือ CVE-2025-41253 เกิดจากการใช้ Spring Expression Language (SpEL) ในการกำหนด route ของแอปพลิเคชัน Spring Cloud Gateway Server Webflux โดยหากเปิด actuator endpoint แบบไม่ปลอดภัย และอนุญาตให้บุคคลภายนอกกำหนด route ได้ ก็อาจทำให้แฮ็กเกอร์อ่าน environment variables, system properties หรือแม้แต่ token และ API key ได้จาก runtime environment
ช่องโหว่ที่สองคือ CVE-2025-41254 เกิดใน Spring Framework ที่ใช้ STOMP over WebSocket ซึ่งอาจถูกใช้เพื่อส่งข้อความโดยไม่ผ่านการตรวจสอบ CSRF ทำให้แฮ็กเกอร์สามารถสื่อสารกับเซิร์ฟเวอร์แบบ real-time ได้โดยไม่ต้องมีสิทธิ์
Spring ได้ออกแพตช์สำหรับทั้งสองช่องโหว่แล้ว โดยแนะนำให้ผู้ใช้ที่ไม่สามารถอัปเดตทันที ให้ปิดการเข้าถึง actuator endpoint หรือเพิ่มการป้องกันให้ปลอดภัยมากขึ้น
Spring ออกแพตช์สำหรับช่องโหว่ CVE-2025-41253 และ CVE-2025-41254
ส่งผลกระทบต่อ Spring Cloud Gateway และ Spring Framework
CVE-2025-41253 เกิดจากการใช้ SpEL ใน route configuration
อาจทำให้แฮ็กเกอร์อ่านข้อมูลลับจาก environment ได้
เงื่อนไขที่ทำให้เกิดช่องโหว่: ใช้ Webflux, เปิด actuator endpoint, และอนุญาตให้กำหนด route ด้วย SpEL
ไม่ส่งผลกับ WebMVC
CVE-2025-41254 เกิดจาก STOMP over WebSocket ที่ไม่ตรวจสอบ CSRF
อาจถูกใช้ส่งข้อความโดยไม่ได้รับอนุญาต
Spring ออกแพตช์ในเวอร์ชัน OSS และ Commercial หลายรุ่น
เช่น 4.3.2, 4.2.6, 6.2.12, 5.3.46 เป็นต้น
มีคำแนะนำสำหรับผู้ที่ยังไม่สามารถอัปเดตทันที
เช่น ปิด actuator endpoint หรือเพิ่มการป้องกัน
แอปที่เปิด actuator endpoint โดยไม่ป้องกันมีความเสี่ยงสูง
อาจถูกใช้เพื่ออ่านข้อมูลลับจากระบบ
STOMP over WebSocket ที่ไม่ตรวจสอบ CSRF อาจถูกใช้โจมตีแบบ real-time
เหมาะกับระบบแชต, dashboard หรือ IoT ที่มีความอ่อนไหว
ผู้ใช้ Spring รุ่นเก่าอาจยังไม่ได้รับแพตช์
ต้องอัปเกรดหรือใช้วิธีป้องกันชั่วคราว
การใช้ SpEL โดยไม่จำกัดสิทธิ์อาจเปิดช่องให้รันคำสั่งอันตราย
ควรจำกัดการเข้าถึงและตรวจสอบ route configuration อย่างเข้มงวด
https://securityonline.info/spring-patches-two-flaws-spel-injection-cve-2025-41253-leaks-secrets-stomp-csrf-bypasses-websocket-security/
🛡️ “Spring อุดช่องโหว่ SpEL และ STOMP CSRF — ป้องกันการรั่วไหลข้อมูลและการแฮ็ก WebSocket” — เมื่อเฟรมเวิร์กยอดนิยมของ Java ต้องรีบออกแพตช์เพื่อหยุดการโจมตีแบบใหม่
ทีม Spring ของ VMware Tanzu ได้ออกแพตช์ด่วนสำหรับช่องโหว่ 2 รายการที่ส่งผลกระทบต่อ Spring Cloud Gateway และ Spring Framework ซึ่งอาจเปิดช่องให้แฮ็กเกอร์เข้าถึงข้อมูลลับ หรือส่งข้อความ WebSocket โดยไม่ได้รับอนุญาต
ช่องโหว่แรกคือ CVE-2025-41253 เกิดจากการใช้ Spring Expression Language (SpEL) ในการกำหนด route ของแอปพลิเคชัน Spring Cloud Gateway Server Webflux โดยหากเปิด actuator endpoint แบบไม่ปลอดภัย และอนุญาตให้บุคคลภายนอกกำหนด route ได้ ก็อาจทำให้แฮ็กเกอร์อ่าน environment variables, system properties หรือแม้แต่ token และ API key ได้จาก runtime environment
ช่องโหว่ที่สองคือ CVE-2025-41254 เกิดใน Spring Framework ที่ใช้ STOMP over WebSocket ซึ่งอาจถูกใช้เพื่อส่งข้อความโดยไม่ผ่านการตรวจสอบ CSRF ทำให้แฮ็กเกอร์สามารถสื่อสารกับเซิร์ฟเวอร์แบบ real-time ได้โดยไม่ต้องมีสิทธิ์
Spring ได้ออกแพตช์สำหรับทั้งสองช่องโหว่แล้ว โดยแนะนำให้ผู้ใช้ที่ไม่สามารถอัปเดตทันที ให้ปิดการเข้าถึง actuator endpoint หรือเพิ่มการป้องกันให้ปลอดภัยมากขึ้น
✅ Spring ออกแพตช์สำหรับช่องโหว่ CVE-2025-41253 และ CVE-2025-41254
➡️ ส่งผลกระทบต่อ Spring Cloud Gateway และ Spring Framework
✅ CVE-2025-41253 เกิดจากการใช้ SpEL ใน route configuration
➡️ อาจทำให้แฮ็กเกอร์อ่านข้อมูลลับจาก environment ได้
✅ เงื่อนไขที่ทำให้เกิดช่องโหว่: ใช้ Webflux, เปิด actuator endpoint, และอนุญาตให้กำหนด route ด้วย SpEL
➡️ ไม่ส่งผลกับ WebMVC
✅ CVE-2025-41254 เกิดจาก STOMP over WebSocket ที่ไม่ตรวจสอบ CSRF
➡️ อาจถูกใช้ส่งข้อความโดยไม่ได้รับอนุญาต
✅ Spring ออกแพตช์ในเวอร์ชัน OSS และ Commercial หลายรุ่น
➡️ เช่น 4.3.2, 4.2.6, 6.2.12, 5.3.46 เป็นต้น
✅ มีคำแนะนำสำหรับผู้ที่ยังไม่สามารถอัปเดตทันที
➡️ เช่น ปิด actuator endpoint หรือเพิ่มการป้องกัน
‼️ แอปที่เปิด actuator endpoint โดยไม่ป้องกันมีความเสี่ยงสูง
⛔ อาจถูกใช้เพื่ออ่านข้อมูลลับจากระบบ
‼️ STOMP over WebSocket ที่ไม่ตรวจสอบ CSRF อาจถูกใช้โจมตีแบบ real-time
⛔ เหมาะกับระบบแชต, dashboard หรือ IoT ที่มีความอ่อนไหว
‼️ ผู้ใช้ Spring รุ่นเก่าอาจยังไม่ได้รับแพตช์
⛔ ต้องอัปเกรดหรือใช้วิธีป้องกันชั่วคราว
‼️ การใช้ SpEL โดยไม่จำกัดสิทธิ์อาจเปิดช่องให้รันคำสั่งอันตราย
⛔ ควรจำกัดการเข้าถึงและตรวจสอบ route configuration อย่างเข้มงวด
https://securityonline.info/spring-patches-two-flaws-spel-injection-cve-2025-41253-leaks-secrets-stomp-csrf-bypasses-websocket-security/
0 Comments
0 Shares
48 Views
0 Reviews
Thai