PT-2025-47918 · Apache · Apache Syncope
Clemens Bergmann
·
Publicado
2025-11-24
·
Atualizado
2025-12-04
·
CVE-2025-65998
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Apache Syncope anteriores à 3.0.15
Versões do Apache Syncope anteriores à 4.0.3
Descrição
O Apache Syncope, quando configurado para utilizar criptografia AES para armazenar senhas de usuários em seu banco de dados interno, utiliza uma chave padrão embutida no código. Isso permite que um ator malicioso com acesso ao banco de dados reconstrua as senhas originais em texto claro. O problema não afeta atributos simples criptografados. A vulnerabilidade permite o comprometimento total das credenciais e potencial movimento lateral dentro de um sistema.
Recomendações
Atualize para a versão 3.0.15 ou posterior do Apache Syncope.
Atualize para a versão 4.0.3 ou posterior do Apache Syncope.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Syncope