概述

CVE-2025-62710是一个在Sakai kernel-impl中发现的加密漏洞，该漏洞由于使用可预测的伪随机数生成器（PRNG）生成服务器端加密密钥，导致加密数据面临被解密的风险。

漏洞描述

Sakai是一个协作和学习环境。在23.5和25.0版本之前，EncryptionUtilityServiceImpl使用RandomStringUtils和默认的java.util.Random来初始化AES256TextEncryptor密码（serverSecretKey）。java.util.Random是一个非加密安全的PRNG，可以从有限的状态/种子信息（例如启动时间窗口）进行预测，这显著减少了生成密钥的有效搜索空间。

能够获取密文（例如，由此服务保护的导出或静态字符串）并近似PRNG种子的攻击者，可以可行地重构serverSecretKey并解密受影响的数据。SAK-49866已在Sakai 23.5、25.0和trunk版本中修复。

漏洞详情

• 发布日期：2025年10月22日 23:15
• 最后修改：2025年10月22日 23:15
• 远程利用：是
• 数据来源：security-advisories@github.com

CVSS评分

• 评分：2.6（CVSS 3.1）
• 严重性：低
• 向量：AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:N/A:N
• 可利用性评分：1.2
• 影响评分：1.4

解决方案

• 将Sakai更新到23.5或25.0及更高版本以修复弱密钥生成问题
• 应用SAK-49866的补丁

公共PoC/漏洞利用

在GitHub上有1个公开的PoC/漏洞利用可用。

相关参考

• https://github.com/sakaiproject/sakai/commit/bde070104b1de01f4a6458dca6d9e0880a0e3c04
• https://github.com/sakaiproject/sakai/security/advisories/GHSA-gr7h-xw4f-wh86

CWE关联

• CWE-337：伪随机数生成器（PRNG）中的可预测种子

漏洞时间线

• 2025年10月22日：收到来自security-advisories@github.com的新CVE报告

受影响产品

目前尚未记录受影响的具体产品信息。

总受影响供应商：0 | 产品：0