Clemens Bergmann

**Nome do Software Vulnerável e Versões Afetadas** Versões do Apache Syncope anteriores à 3.0.15 Versões do Apache Syncope anteriores à 4.0.3 **Descrição** O Apache Syncope, quando configurado para utilizar criptografia AES para armazenar senhas de usuários em seu banco de dados interno, utiliza uma chave padrão embutida no código. Isso permite que um ator malicioso com acesso ao banco de dados reconstrua as senhas originais em texto claro. O problema não afeta atributos simples criptografados. A vulnerabilidade permite o comprometimento total das credenciais e potencial movimento lateral dentro de um sistema. **Recomendações** Atualize para a versão 3.0.15 ou posterior do Apache Syncope. Atualize para a versão 4.0.3 ou posterior do Apache Syncope.