Apache Syncope AES加密漏洞：硬编码密钥导致密码可被还原

本文详述了Apache Syncope身份管理系统中存在的高危漏洞CVE-2025-65998。当配置使用AES加密存储用户密码时，系统使用了源代码中硬编码的默认密钥，导致攻击者在获取数据库访问权限后，能够还原出明文密码。

Apache Syncope的AES加密在内部数据库中存储硬编码密码

漏洞详情

漏洞编号: CVE-2025-65998 严重等级: 高危 (CVSS评分: 7.5)

受影响范围

受影响软件包:

Maven: org.apache.syncope:syncope-core

受影响版本:

4.x系列: >= 4.0.0, < 4.0.3
3.x系列: < 3.0.15

已修复版本:

版本 4.0.3
版本 3.0.15

漏洞描述

Apache Syncope可以配置为使用AES加密将用户密码值存储在内部数据库中（尽管这不是默认选项）。当配置使用AES加密时，系统始终使用源代码中硬编码的默认密钥值。这使得恶意攻击者在获得内部数据库内容的访问权限后，能够重建原始的明文密码值。

重要说明: 此漏洞不影响同样使用AES加密存储的加密明文属性值。

建议措施

建议用户升级到已修复该问题的版本：

升级至版本 3.0.15 或 4.0.3

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2025-65998
https://lists.apache.org/thread/fjh0tb0d1xkbphc5ogdsc348ppz88cts
http://www.openwall.com/lists/oss-security/2025/11/24/1
apache/syncope@297498e
apache/syncope@9d706af

漏洞元数据

漏洞类型: CWE-321 (使用硬编码的加密密钥) GHSA ID: GHSA-jqg8-m35q-jh7j CVSS v3.1 向量: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

发布时间线:

国家漏洞数据库发布时间: 2025年11月24日
GitHub咨询数据库发布时间: 2025年11月24日
审核时间: 2025年11月25日
最后更新时间: 2025年11月25日

comments powered by Disqus