Tag: Syncope

Apache Syncope Flaw Lets Attackers Access Internal Database Content

2024/11/25 gbhackers — Apache Syncope にセキュリティ脆弱性 CVE-2025-65998 が発見された。この脆弱性を悪用する攻撃者が、内部データベースへのアクセスに成功すると、保存されているパスワードが復号化される可能性がある。この脆弱性は、ハードコードされたデフォルトの AES 暗号化キーの使用に起因している。つまり、機密性の高いユーザー認証情報を安全に保つために設計された、パスワード保護メカニズムに問題が生じている。

Continue reading “Apache Syncope の脆弱性 CVE-2025-65998 が FIX：ハードコード・キーとパスワード複合”

Apache Syncope Groovy Flaw Allows Remote Code Injection

2025/10/21 gbhackers — Apache Syncope が公開したのは、認証済み管理者にシステム上での任意のコード実行を許す深刻なセキュリティ脆弱性の情報である。この脆弱性 CVE-2025-57738 が影響を及ぼす範囲は、Apache Syncope のバージョン 3.0.14 未満／4.0.2 未満であり、悪意の Groovy コードの注入によるシステム侵害の危険性がある。

Continue reading “Apache Syncope の脆弱性 CVE-2025-57738 が FIX：管理者権限で任意コード実行が可能”