漏洞详情

包信息

• 包管理器: Maven
• 包名称: org.apache.syncope:syncope-core

受影响版本

• = 4.0.0, < 4.0.3

• < 3.0.15

已修复版本

• 4.0.3
• 3.0.15

漏洞描述

Apache Syncope支持配置使用AES加密将用户密码值存储在内部数据库中，但这并非默认选项。当配置使用AES加密时，系统始终使用源代码中硬编码的默认密钥值。这使得恶意攻击者在获取内部数据库内容后，能够重构原始的明文密码值。

需要注意的是，此漏洞不影响使用AES加密存储的加密明文属性值。

修复建议

建议用户升级到以下版本：

• 版本 3.0.15
• 版本 4.0.3

这些版本已修复此问题。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-65998
• https://lists.apache.org/thread/fjh0tb0d1xkbphc5ogdsc348ppz88cts
• http://www.openwall.com/lists/oss-security/2025/11/24/1
• apache/syncope@297498e
• apache/syncope@9d706af

安全评分

严重程度

• 等级: 高危
• CVSS评分: 7.5/10

CVSS v3基础指标

• 攻击向量: 网络
• 攻击复杂度: 低
• 所需权限: 无
• 用户交互: 无
• 范围: 未改变
• 机密性影响: 高
• 完整性影响: 无
• 可用性影响: 无

弱点分类

• 弱点类型: CWE-321
• 描述: 使用硬编码的加密密钥显著增加了加密数据被恢复的可能性