Angreifer können unter bestimmten Bedingungen an einer Sicherheitslücke in VMware Tanzu Spring Boot ansetzen und sich unrechtmäßigen Zugriff verschaffen. Mittlerweile haben die Entwickler die Schwachstelle geschlossen.
Softwareentwickler nutzen Spring Boot zum effizienteren Erstellen von Java-Applikationen. Damit Angreifer an der Lücke (CVE-2025-22235 „hoch“) ansetzen zu können, müssen aber mehrere Voraussetzungen erfüllt sein. Unter anderem muss Spring Security eingesetzt werden und mit EndpointRequest.to () konfiguriert sein.
Ist das gegeben, können Angreifer die Schwachstelle ausnutzen. Wie so ein Angriff ablaufen könnte, ist bislang unklar. In der Warnmeldung gibt es keine Hinweise, dass es bereits Attacken gibt. Admins sollten aber nicht zu lange mit der Installation des Sicherheitsupdates warten. Folgende Versionen sind den Entwicklern zufolge gegen den geschilderten Angriff gerüstet. Alle vorigen Aussagen sollen verwundbar sein.
2.7.253.1.163.2.143.3.113.4.5