PT-2026-43079 · Apache · Apache Syncope
Elin Kai
·
Publicado
2026-05-25
·
Atualizado
2026-05-29
·
CVE-2026-42797
CVSS v3.1
4.9
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Apache Syncope versões 3.0 até 3.0.16
Apache Syncope versões 4.0 até 4.0.5
Apache Syncope versão 4.1.0
Descrição
Um administrador com permissões adequadas para Esquemas Derivados pode criar uma expressão JEXL (Java Expression Language) maliciosa. Isso permite que qualquer administrador com permissões suficientes de leitura de Usuário acesse informações sensíveis de segurança relacionadas aos usuários.
Recomendações
Para as versões 3.0 até 3.0.16, 4.0 até 4.0.5 e 4.1.0, atualize para a versão 4.0.6 ou 4.1.1.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Syncope