Die Teams von Spring Security und Spring Framework haben gemeinsam Korrekturen für zwei Sicherheitslücken veröffentlicht. Diese Sicherheitslücken, CVE-2025-41248 und CVE-2025-41249, betreffen Methoden-Sicherheitsannotationen in parametrisierten Typen innerhalb von Typ-Hierarchien. Insbesondere beziehen sie sich auf Probleme bei der Umgehung der Autorisierung und der Erkennung von Annotationen. CVE-2025-41248 wird in den Spring Security Versionen 6.4.10 und 6.5.4 behoben. CVE-2025-41249 wird in der Spring Framework Version 6.2.11 behoben. Während der Open-Source-Support für Spring Framework 5.3.x und 6.1.x beendet wurde, sind diese Korrekturen in kommerziellen Releases verfügbar. Diese kommerziellen Releases sind Spring Framework 5.3.45 und 6.1.23. Benutzer, die keinen kommerziellen Support haben, werden ermutigt, auf eine unterstützte Open-Source-Spring Framework Version zu aktualisieren. Für Spring Boot-Benutzer der Versionen 2.7, 3.2 oder 3.3 sind Hotfix-Releases verfügbar. Diese Hotfixes sind 2.7.29.1, 3.2.18.1 bzw. 3.3.15.1. Auf diese kommerziellen Releases kann über das Spring Commercial Artifact Repository mit einem Enterprise Subscription zugegriffen werden.