Apache Syncope on 办公AI智能小助手

Apache Syncope AES加密漏洞：硬编码密钥导致密码可被还原

Mon, 05 Jan 2026 07:42:38 +0800

Apache Syncope的AES加密在内部数据库中存储硬编码密码

漏洞详情

漏洞编号: CVE-2025-65998 严重等级: 高危 (CVSS评分: 7.5)

受影响范围

受影响软件包:

Maven: org.apache.syncope:syncope-core

受影响版本:

4.x系列: >= 4.0.0, < 4.0.3
3.x系列: < 3.0.15

已修复版本:

Apache Syncope曝高危漏洞：硬编码AES密钥导致密码可被解密

Sat, 03 Jan 2026 07:21:24 +0800

漏洞详情

漏洞编号: CVE-2025-65998

严重等级: 高危（CVSS评分 7.5）

影响组件: Apache Syncope syncope-core 模块 (Maven: org.apache.syncope:syncope-core)

受影响版本:

4.x 系列: 版本 >= 4.0.0, < 4.0.3
3.x 系列: 版本 < 3.0.15

已修复版本:

版本 4.0.3
版本 3.0.15

漏洞描述

Apache Syncope 支持配置为使用 AES 加密将用户密码值存储在内部数据库中（此非默认选项）。然而，当启用 AES 加密时，系统会始终使用源代码中硬编码的默认密钥。这使得恶意攻击者一旦能够访问内部数据库的内容，即可利用该硬编码密钥重构出原始的明文密码。

Apache Syncope 致命漏洞：硬编码密钥致密码数据全面暴露

Mon, 15 Dec 2025 09:16:27 +0800

一个被标识为 CVE-2025-65998 的关键漏洞在 Apache Syncope 中被发现，这是一个广泛使用的开源身份管理系统。此漏洞可能导致敏感密码信息暴露，突显了硬编码加密密钥和相关密钥管理实践不当所带来的风险。

Apache Syncope 硬编码密钥漏洞CVE-2025-65998暴露AES加密密码

Mon, 15 Dec 2025 05:36:22 +0800

Apache Syncope Passwords at Risk from Newly Disclosed CVE-2025-65998

在Apache Syncope（一款广泛使用的开源身份管理系统）中发现了一个关键安全漏洞，该漏洞可能导致组织暴露敏感的密码信息。

Apache Syncope因硬编码AES加密密钥导致密码安全漏洞剖析

Wed, 10 Dec 2025 01:29:21 +0800

漏洞详情

包信息

包管理器: Maven 受影响包: org.apache.syncope:syncope-core

受影响的版本

大于等于 4.0.0，小于 4.0.3 的版本
小于 3.0.15 的版本

已修复的版本

4.0.3
3.0.15

漏洞描述

Apache Syncope 可以配置为使用 AES 加密将用户密码值存储在其内部数据库中，尽管这不是默认选项。当配置使用 AES 加密时，系统始终使用源代码中硬编码的默认密钥值。这使得恶意攻击者一旦获取到内部数据库的内容，就能够重构出原始的明文密码值。

Apache Syncope存在Groovy代码注入漏洞，恶意管理员可远程执行代码

Sun, 02 Nov 2025 16:03:13 +0800

漏洞详情

包名: maven:org.apache.syncope.core:syncope-core-spring (Maven)

受影响版本:

< 3.0.14
= 4.0.0-M0, < 4.0.2

已修复版本:

3.0.14
4.0.2

漏洞描述

Apache Syncope 提供了通过自定义Java接口实现来扩展/定制基础行为的能力；此类实现可以通过Java或Groovy类提供，后者特别具有吸引力，因为其机制支持运行时重新加载。

Apache Syncope存在Groovy代码注入漏洞，恶意管理员可远程执行代码

Thu, 23 Oct 2025 18:25:55 +0800

Apache Syncope允许恶意管理员注入Groovy代码

漏洞详情

Apache Syncope提供了通过自定义Java接口实现来扩展/定制基础行为的能力。此类实现可以通过Java或Groovy类提供，其中Groovy类特别具有吸引力，因为其机制支持运行时重载。