Una vulnerabilidad grave relacionada con la exposición a la información (CVE-2025-22234) afecta varias versiones del paquete de cripto de seguridad de Spring.
Este defecto permite a un atacante determinar los nombres de usuario válidos a través de ataques de tiempo y socavar las características de seguridad críticas diseñadas para evitar la enumeración del usuario.
La vulnerabilidad afecta las versiones de seguridad de Spring 5.7.16, 5.8.18, 6.0.16, 6.1.14, 6.2.10, 6.3.8 y 6.4.4. El parche ahora está disponible a través de la versión de soporte no remunerada (NES) de HERODEVS.
Spring Security, un marco de seguridad Java integral ampliamente utilizado en aplicaciones empresariales, generalmente implementa la mitigación de ataque de tiempo realizando verificaciones de contraseña independientemente de si el nombre de usuario existe o no.
El ataque de tiempo de seguridad de primavera expone nombres de usuario
Esto evita que un atacante determine un nombre de usuario válido midiendo los tiempos de respuesta durante los intentos de inicio de sesión.
“Irónicamente, esta vulnerabilidad se introdujo al solucionar otro problema de seguridad”, dijo Adrian Chapman, investigador de seguridad de Cybersafe Analytics.
“El parche CVE-2025-22228 derrotó accidentalmente a la mitigación del ataque de tiempo implementado en DaoauthenticationProvider”.
Las causas técnicas subyacentes incluyen contraseñas BCrypt que codifican con contraseñas largas. Cuando el codificador de contraseña está configurado en BCRYPT y se envía una contraseña superior a 72 caracteres, el codificador ahora lanza una excepción en lugar de seguir el comportamiento anterior. Este cambio permite a los atacantes medir las diferencias de los tiempos de respuesta.
La medición cuidadosa de los tiempos de respuesta permite que un atacante determine qué nombres de usuario existen en el sistema.
Por lo general, los nombres de usuario válidos tendrán tiempos de procesamiento más largos debido a las verificaciones de contraseña legítimas, pero los nombres de usuario no válidos devolverán respuestas más rápidas.
Una vez que se identifica un nombre de usuario válido, un atacante puede enfocar la adivinación de contraseña o los esfuerzos de ingeniería social en una cuenta conocida.
La vulnerabilidad calificada como severidad moderada fue descubierta por Jonas Robl de SAP y fue publicada el 22 de abril de 2025.
Factores de riesgo DetermailSafected Products Spring Security: 5.7.16, 5.8.18, 6.0.16, 6.1.14, 6.2.10, 6.3.8, 6.4.414. 3.1 Puntuación 6.5 (medio)
Procedimiento de mitigación
Las organizaciones que usan la versión de seguridad de primavera afectada deben implementar inmediatamente una de las siguientes mitigaciones:
Actualice a una versión compatible de Spring Security que incluye correcciones. El soporte comercial se aprovechará a través de HERODEV para el soporte de seguridad posterior a la EOL.
La vulnerabilidad se aborda al regresar a comportamientos anteriores que aseguran un momento consistente independientemente de la validez del nombre de usuario.
Esta solución está disponible en NES para Spring Security v5.7.18 y v5.8.21 y restablece la mitigación de ataque de tiempo crítico que mantiene la integridad de la seguridad de la autenticación.
A medida que cambian los entornos de seguridad, mantenerse atento y tratar con vulnerabilidades como CVE-2025-22234 es fundamental para proteger la información confidencial del usuario y mantener la confianza en las aplicaciones empresariales.
¿Eres de los equipos SOC y DFIR? – Analice los incidentes de malware y comience cualquiera.run-> gratis.
