出典: Security NEXT – https://www.security-next.com/177626
「Apache Syncope」に脆弱性 – 内部DB構成でPW特定のおそれ
「Apache Syncope」に脆弱性 – 内部DB構成でPW特定のおそれ
アイデンティティ管理ソフトウェア「Apache Syncope」において、ユーザーパスワードの暗号化に用いられる鍵がハードコードされていることが判明した。
ユーザーのパスワードを内部データベースに保存するよう構成した場合に影響を受ける脆弱性「CVE-2025-65998」が明らかになったもの。
「AES」による暗号化に用いる鍵が、ソースコードへハードコードされており、内部データベースへアクセスできる場合、ユーザーのパスワードを復元されるおそれがある。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.5」と評価されており、重要度は「高(High)」とレーティングされている。
開発チームでは、脆弱性を修正した「Apache Syncope 4.0.3」「同3.0.15」を提供しており、アップデートが呼びかけられている。
(Security NEXT – 2025/11/27 )
ツイート
PR
関連記事
「LogStare Collector」に複数の脆弱性 – 最新版へ更新を
IT資産管理製品「
