/
spring-core (CVE-2025-41249)

spring-core (CVE-2025-41249)

Betroffene Produkte:

  • jadice server Versionen zwischen 5.15.3.1 und 5.16.0.0

Herkunft:

Die CVE stammt aus der Dependency spring-core der Version 5.3.39.

Auswirkung & Informationen zur CVE:

Spring Framework Annotation Detection Vulnerability: Es ist möglich, dass sicherheitsrelevante Annotationen an Methoden in bestimmten generischen Typ-Hierarchien nicht richtig erkannt werden. Wenn solche Annotationen für Zugriffsentscheidungen verwendet werden, kann dass zur Folge haben, dass bei aktivierter methodenbasierten Sicherheit (durch @EnableMethodSecurity) eine fehlerhafte Autorisierung möglich ist.

Weitere Informationen können Sie unter folgendem Link finden: https://nvd.nist.gov/vuln/detail/CVE-2025-41249

Bewertung & Abhilfe:

Im jadice server wird die Annotation @EnableMethodSecurity nicht verwendet und er ist darum nicht betroffen. Falls Sie die Annotation in Ihrem eigenen Code in generischen Klassen oder Interfaces einsetzen, sollten sie entsprechende Änderungen vornehmen.
Es ist aktuell noch keine freie 5.3.* Version der Dependency spring-core verfügbar. Daher empfehlen wir ein Update auf die aktuelle jadice server Version 5.16.*, welche eine aktuelle Version der Spring Dependency enthält (> 6.2.11) und daher nicht von der CVE betroffen ist.