【漏洞情报】Apache Syncope AES加密漏洞分析：硬编码密码的安全风险

漏洞详情

包名称:

maven:org.apache.syncope:syncope-core (Maven)

受影响版本:

• = 4.0.0, < 4.0.3
• < 3.0.15

已修复版本:

• 4.0.3
• 3.0.15

漏洞描述

Apache Syncope可以配置为使用AES加密将用户密码值存储在内部数据库中，尽管这不是默认选项。

当配置使用AES加密时，系统始终使用源代码中硬编码的默认密钥值。这使得恶意攻击者在获取内部数据库内容后，能够重建原始的明文密码值。

此漏洞不影响使用AES加密存储的加密明文属性值。

建议用户升级到3.0.15/4.0.3版本，这些版本已修复此问题。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-65998
• https://lists.apache.org/thread/fjh0tb0d1xkbphc5ogdsc348ppz88cts
• http://www.openwall.com/lists/oss-security/2025/11/24/1
• apache/syncope@297498e
• apache/syncope@9d706af

安全评分

严重程度: 高危

CVSS总体评分: 7.5/10

CVSS v3基础指标

• 攻击向量: 网络
• 攻击复杂度: 低
• 所需权限: 无
• 用户交互: 无
• 范围: 未改变
• 机密性: 高
• 完整性: 无
• 可用性: 无

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

弱点分类

弱点: CWE-321

描述: 使用硬编码加密密钥显著增加了加密数据被恢复的可能性。

源代码项目：https://github.com/apache/syncope.git

maven地址：https://syncope.apache.org/