/
spring-security-crypto (CVE-2025-22228)

spring-security-crypto (CVE-2025-22228)

Betroffene Produkte:

  • jadice server Versionen zwischen 5.15.3.1 und 5.16.0.0

Herkunft:

Die CVE stammt aus der Dependency spring-security-crypto der Version 5.8.16.

Auswirkung & Informationen zur CVE:

Die Spring Methode “BCryptPasswordEncoder.matches(CharSequence,String)” gibt fälschlicherweise “true” zurück, wenn Passwörter länger als 72 Zeichen sind und die ersten 72 Zeichen identisch sind.

Weitere Informationen können Sie unter folgendem Link finden: https://nvd.nist.gov/vuln/detail/cve-2025-22228

Bewertung & Abhilfe:

Es ist keine freie 5.8.* Version der Dependency spring-security-crypto verfügbar. Daher empfehlen wir ein Update auf die aktuelle jadice server Version 5.16.*, welche eine aktuelle Version der Spring Dependency enthält (6.4.*) und daher nicht von der CVE betroffen ist.

Darüber hinaus ist es wichtig bei der Verwendung einer jadice server Version zwischen 5.15.3.1 und 5.16.0.0, beim Einsatz des BCryptPasswordEncoder nur Passwörter mit einer maximal Zeichenlänge von 72 zu verwenden.