漏洞详情

CVE ID: CVE-2025-65998 GHSA ID: GHSA-jqg8-m35q-jh7j 严重等级: 高 (CVSS 分数: 7.5) 受影响版本:

• Apache Syncope 4.0.0 至 4.0.2 版本
• Apache Syncope 3.0.14 及更早版本 修复版本:
• 4.0.3
• 3.0.15

漏洞描述

Apache Syncope 支持将用户密码值以 AES 加密方式存储在内部数据库中，但此功能并非默认配置。当启用 AES 加密时，系统会始终使用源代码中硬编码的默认密钥值。这使得恶意攻击者在获取内部数据库内容的访问权限后，能够重构出原始的明文密码。

此漏洞不影响同样使用 AES 加密存储的加密明文属性值。

修复建议

建议用户升级到已修复此问题的版本 3.0.15 或 4.0.3。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-65998
• https://lists.apache.org/thread/fjh0tb0d1xkbphc5ogdsc348ppz88cts
• http://www.openwall.com/lists/oss-security/2025/11/24/1
• apache/syncope@297498e
• apache/syncope@9d706af

安全弱点分类

CWE-321: 使用硬编码的加密密钥。使用硬编码的加密密钥会显著增加加密数据被恢复的可能性。