Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-13743

Опубликовано: 28 авг. 2025
Источник: fstec
CVSS3: 7.2
CVSS2: 9
EPSS Низкий

Описание

Уязвимость системы для управления цифровыми идентификаторами Apache Syncope связана с отсутствием контроля разрешений приложений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Apache Software Foundation

Наименование ПО

Syncope

Версия ПО

от 4.0 до 4.0.2 (Syncope)
от 2.1 до 2.1.14 включительно (Syncope)
от 3.0 до 3.0.13 включительно (Syncope)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/apache/syncope/commit/8b08c4d5785599a0e38830dcff89738b93f02a16
https://github.com/apache/syncope/commit/88c2b5b0be9e2ed66007d672e786165bc266e717
https://lists.apache.org/thread/x7cv6xv7z76y49grdr1hgj1pzw5zbby6
https://syncope.apache.org/security#CVE-2025-57738

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 27%
0.00094
Низкий

7.2 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-57738

CVSS3: 7.2
nvd
4 месяца назад

Apache Syncope offers the ability to extend / customize the base behavior on every deployment by allowing to provide custom implementations of a few Java interfaces; such implementations can be provided either as Java or Groovy classes, with the latter being particularly attractive as the machinery is set for runtime reload. Such a feature has been available for a while, but recently it was discovered that a malicious administrator can inject Groovy code that can be executed remotely by a running Apache Syncope Core instance. Users are recommended to upgrade to version 3.0.14 / 4.0.2, which fix this issue by forcing the Groovy code to run in a sandbox.

github логотип

GHSA-825g-mm5v-ggq4

CVSS3: 7.2
github
4 месяца назад

Apache Syncope allows malicious administrators to inject Groovy code

EPSS

Процентиль: 27%
0.00094
Низкий

7.2 High

CVSS3

9 Critical

CVSS2