CVE-2025-22228

Data: 2025-04-03

Severity: High

CVSS Score: 7.4 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N)

Riferimenti:

• https://nvd.nist.gov/vuln/detail/CVE-2025-22228

• https://ossindex.sonatype.org/vulnerability/CVE-2025-22228

• https://spring.io/security/cve-2025-22228

Libreria: org.springframework.security:spring-security-crypto <= 5.8.17

Descrizione

CWE-287: Improper Authentication

BCryptPasswordEncoder.matches(CharSequence,String) will incorrectly return true for passwords larger than 72 characters as long as the first 72 characters are the same.

Falso Positivo per GovWay

Nel progetto viene utilizzata una versione ricompilata del jar:

• spring-security-crypto-5.8.16-gov4j-1.jar

La tag version “5.8.16 è stata modificata per riportare il contenuto delle modifiche evidenziate nel commit 46f0dc6 sul progetto github spring-projects/spring-security.

All’interno dell’archivio jar è possibile trovare il file diff (crypto.patch) applicato sui sorgenti del tag “5.8.16” oltre ai sorgenti “.java” della classe modificata.

Configuration File: false-positive.xml