7.8высокая
BDU:2025-13430 (CVE-2025-41235)
Уязвимость библиотеки для создания API-шлюзов Spring Cloud Gateway, связанная с недостатками формирования HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)
Опубликовано: 2025-10-28
Описание
Уязвимость библиотеки для создания API-шлюзов Spring Cloud Gateway связана с недостатками формирования HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, пересылать заголовки X-Forwarded-For и Forwarded с недоверенных прокси-серверов
Затрагиваемое ПО и версии
Spring Cloud Gateway (от 2.2.10.RELEASE до 4.2.2 включительно)Spring Cloud Gateway (4.3.0-M1)Spring Cloud Gateway (4.3.0-M2)Spring Cloud Gateway (4.3.0-RC1)Spring Cloud Gateway (от 4.1.7 до 4.2.2 включительно)
Способ устранения
Использование рекомендаций:
https://spring.io/security/cve-2025-41235
Оценка CVSS
| Балл | 7.8 — высокая опасность |
Источники и патчи