漏洞详情

包名: maven:org.apache.syncope.core:syncope-core-spring (Maven)

受影响版本:

• < 3.0.14

• = 4.0.0-M0, < 4.0.2

已修复版本:

• 3.0.14
• 4.0.2

漏洞描述

Apache Syncope 提供了通过自定义Java接口实现来扩展/定制基础行为的能力；此类实现可以通过Java或Groovy类提供，后者特别具有吸引力，因为其机制支持运行时重新加载。

该功能已存在一段时间，但最近发现恶意管理员可以注入Groovy代码，这些代码可由正在运行的Apache Syncope Core实例远程执行。

建议用户升级到3.0.14/4.0.2版本，该版本通过强制Groovy代码在沙箱中运行来修复此问题。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-57738

• https://lists.apache.org/thread/x7cv6xv7z76y49grdr1hgj1pzw5zbby6

• apache/syncope@88c2b5b

• apache/syncope@8b08c4d

• https://syncope.apache.org/security#CVE-2025-57738

严重程度

高危 - CVSS评分7.2

CVSS v3基础指标:

• 攻击向量：网络
• 攻击复杂度：低
• 所需权限：高
• 用户交互：无
• 作用范围：未改变
• 机密性：高
• 完整性：高
• 可用性：高

弱点分类: CWE-653 - 不正确的隔离或分区