漏洞详情

包信息

包管理器: Maven 受影响包: org.apache.syncope:syncope-core

受影响的版本

• 大于等于 4.0.0，小于 4.0.3 的版本
• 小于 3.0.15 的版本

已修复的版本

• 4.0.3
• 3.0.15

漏洞描述

Apache Syncope 可以配置为使用 AES 加密将用户密码值存储在其内部数据库中，尽管这不是默认选项。当配置使用 AES 加密时，系统始终使用源代码中硬编码的默认密钥值。这使得恶意攻击者一旦获取到内部数据库的内容，就能够重构出原始的明文密码值。

请注意：此漏洞不影响同样使用 AES 加密存储的加密明文属性值。

建议措施

建议用户升级到已修复此问题的版本 3.0.15 或 4.0.3。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-65998
• https://lists.apache.org/thread/fjh0tb0d1xkbphc5ogdsc348ppz88cts
• http://www.openwall.com/lists/oss-security/2025/11/24/1
• apache/syncope@297498e
• apache/syncope@9d706af

漏洞严重性

严重等级: 高 CVSS 总体评分: 7.5/10

CVSS v3 基础指标

• 攻击向量: 网络
• 攻击复杂度: 低
• 所需权限: 无
• 用户交互: 无
• 范围: 未改变
• 机密性影响: 高
• 完整性影响: 无
• 可用性影响: 无

CVSS向量字符串: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

EPSS 评分

利用预测评分系统 (EPSS) 分数: 0.067% (第21百分位) 此分数估计了该漏洞在未来30天内被利用的概率。

安全弱点

弱点标识: CWE-321 弱点名称: 使用硬编码的加密密钥 描述: 使用硬编码的加密密钥会显著增加加密数据被恢复的可能性。

标识符

• CVE ID: CVE-2025-65998
• GHSA ID: GHSA-jqg8-m35q-jh7j

源代码

源码仓库: apache/syncope