Plataforma
java
Componente
org.hibernate.validator:hibernate-validator
Corregido en
6.2.0
7.0.0
6.2.0.CR1
La vulnerabilidad CVE-2025-35036 afecta a Hibernate Validator en versiones anteriores a 6.2.0 y 7.0.0. Permite la interpolación de entrada de usuario en mensajes de violación de restricciones utilizando Expression Language, lo que podría resultar en la exposición de información sensible o la ejecución de código arbitrario. Las versiones afectadas son aquellas menores o iguales a 6.1.7.Final. Se recomienda actualizar a la versión 6.2.0.CR1 o posterior para mitigar este riesgo.
Esta vulnerabilidad permite a un atacante inyectar código malicioso en los mensajes de violación de restricciones de Hibernate Validator. Si la aplicación utiliza estos mensajes para mostrar información al usuario o para realizar acciones basadas en ellos, el atacante podría manipular el comportamiento de la aplicación. En el peor de los casos, esto podría llevar a la ejecución de código arbitrario en el servidor, comprometiendo la confidencialidad, integridad y disponibilidad de los datos. La vulnerabilidad se basa en la capacidad de Hibernate Validator para interpretar expresiones de lenguaje (Expression Language) dentro de los mensajes de error, permitiendo la inyección de código que se ejecuta durante la validación. Es similar a otras vulnerabilidades de interpolación de lenguaje de expresión, como CVE-2020-5245, que afectaron a otros componentes.
La vulnerabilidad CVE-2025-35036 fue publicada el 3 de junio de 2025. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de la redacción. La probabilidad de explotación se considera moderada, ya que requiere un conocimiento específico de Hibernate Validator y la capacidad de inyectar código en los mensajes de error. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad sugiere que podrían desarrollarse. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Applications utilizing Hibernate Validator for data validation, particularly those that allow user-supplied input to be incorporated into constraint violation messages, are at risk. This includes web applications, REST APIs, and any Java-based system relying on Hibernate Validator for input sanitization. Legacy applications using older versions of Hibernate Validator are particularly vulnerable.
• java / server:
# Check for vulnerable versions of Hibernate Validator in dependencies
find . -name pom.xml -o -name build.gradle | xargs grep 'org.hibernate.validator:hibernate-validator:"[<=6.1.7.Final]"'• java / application:
// Inspect the Hibernate Validator version at runtime
String validatorVersion = ValidatorFactory.class.getPackage().getImplementationVersion();
System.out.println("Hibernate Validator Version: " + validatorVersion);disclosure
Estado del Exploit
EPSS
0.58% (69% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-35036 es actualizar Hibernate Validator a la versión 6.2.0.CR1 o posterior, donde se corrigió la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda evitar el uso de entrada de usuario en los mensajes de violación de restricciones. Esto puede lograrse utilizando mensajes estáticos o sanitizando cuidadosamente la entrada del usuario antes de incluirla en el mensaje. Como medida adicional, se puede configurar el servidor de aplicaciones para restringir el acceso a las funciones de Expression Language. Después de la actualización, confirme que la interpolación de Expression Language está deshabilitada revisando la configuración de Hibernate Validator y realizando pruebas de validación con entradas maliciosas.
Actualice Hibernate Validator a la versión 6.2.0 o superior. Esta versión deshabilita la interpolación de Expression Language en mensajes de violación de restricciones personalizados por defecto. Evite el uso de entradas proporcionadas por el usuario en los mensajes de violación de restricciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-35036 is a high-severity vulnerability in Hibernate Validator versions ≤6.1.7.Final that allows attackers to inject Expression Language into constraint violation messages, potentially leading to code execution or information disclosure.
You are affected if you are using Hibernate Validator versions less than or equal to 6.1.7.Final and allow user-supplied input in constraint violation messages.
Upgrade to Hibernate Validator version 6.2.0.CR1 or later to disable the default EL interpolation behavior. Alternatively, sanitize user input before using it in validation messages.
As of June 3, 2025, there are no known public exploits or active campaigns targeting this vulnerability, but it remains a potential risk.
Refer to the Hibernate Validator project website and related security advisories for the latest information and updates regarding CVE-2025-35036.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.