Apache Syncope 漏洞允许攻击者访问内部数据库内容
一个影响多个版本的身份和访问管理平台的重大安全问题已被披露。
该漏洞源于用于密码存储的硬编码默认加密密钥,使得能够访问数据库的攻击者可以恢复明文密码。此漏洞影响配置为使用AES加密将用户密码存储在内部数据库中的Apache Syncope。
虽然此配置选项默认未启用,但专门启用了此功能的组织面临严重风险。当AES加密被激活时,系统依赖于直接嵌入源代码中的硬编码默认密钥值。这一设计缺陷意味着,任何获得内部数据库访问权限的攻击者都可以使用公开的默认加密密钥轻松重构原始的明文密码值。
该漏洞不影响加密的明文属性,后者使用独立的AES加密机制,即使在数据泄露的场景下也能保持安全。
| 参数 | 详情 |
|---|---|
| CVE ID | CVE-2025-65998 |
| 漏洞标题 | Apache Syncope 硬编码加密密钥允许密码恢复 |
| 受影响产品 | Apache Syncope (org.apache.syncope.core:syncope-core-spring) |
| 漏洞类型 | 使用硬编码加密密钥 (CWE-798) |
| 影响 | 机密性破坏 – 密码恢复 |
| CVSS v3.1 基础评分 | 7.5 (高危) – 数据库泄露 |
运行这些版本并启用了AES密码加密的组织应优先进行即时修复。Apache Syncope已经发布了修复该漏洞的版本。
用户应升级至3.0.15或4.0.3版本,这两个版本完全修复了此问题。管理员应首先清点其部署情况,以确认当前是否启用了AES密码加密。如果已启用,升级到修复版本对于防止密码泄露至关重要。由于该漏洞可能导致广泛的凭证窃取,其严重性评级很高。
任何拥有数据库访问权限的攻击者都可以利用硬编码的加密密钥解密存储的密码,从而可能破坏受影响系统中的所有用户账户。这对于管理大量用户或处理敏感身份数据的组织来说尤其危险。
使用Apache Syncope的组织应立即审查其加密配置并应用最新的安全补丁。安全团队还应对在漏洞存在期间可能已暴露凭证的用户进行密码审计。