Apache Syncope允许恶意管理员注入Groovy代码

漏洞详情

Apache Syncope提供了通过自定义Java接口实现来扩展/定制基础行为的能力。此类实现可以通过Java或Groovy类提供，其中Groovy类特别具有吸引力，因为其机制支持运行时重载。

该功能已存在一段时间，但最近发现恶意管理员可以注入Groovy代码，这些代码可能被运行的Apache Syncope Core实例远程执行。

建议用户升级到3.0.14/4.0.2版本，这些版本通过强制Groovy代码在沙箱中运行来修复此问题。

受影响版本

• Maven包：org.apache.syncope.core:syncope-core-spring
• 受影响版本：
  • < 3.0.14
  • >= 4.0.0-M0, < 4.0.2
• 已修复版本：
  • 3.0.14
  • 4.0.2

漏洞严重程度

高危漏洞 - CVSS评分：7.2

CVSS v3基础指标

• 攻击向量：网络
• 攻击复杂度：低
• 所需权限：高
• 用户交互：无
• 范围：未改变
• 机密性：高
• 完整性：高
• 可用性：高

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-57738

• https://lists.apache.org/thread/x7cv6xv7z76y49grdr1hgj1pzw5zbby6

• https://syncope.apache.org/security#CVE-2025-57738

弱点分类

• CWE-653：不适当的隔离或分区
• 产品未正确划分或隔离需要不同权限级别、权利或许可的功能、过程或资源。