Se ha descubierto una vulnerabilidad de severidad alta en Apache Syncope. Un actor malicioso con privilegios administrativos podría ejecutar código arbitrario remotamente mediante inyección de código Groovy.
Productos afectados
- Apache Syncope 4.x: versiones 4.0.0 hasta 4.0.1
- Apache Syncope 3.x: versiones 3.0.0 hasta 3.0.13
- Apache Syncope 2.1.x: versiones 2.1.0 hasta 2.1.14
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-57738: con una puntuación de 7.2 en CVSS v3.1. Existe una vulnerabilidad de aislamiento inadecuado en la funcionalidad de implementaciones personalizadas de Apache Syncope. Un actor malicioso con privilegios administrativos podría inyectar código Groovy malicioso que se ejecuta sin restricciones de sandbox por la instancia de Syncope Core en ejecución, permitiendo la ejecución de comandos del sistema operativo.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-57738
- https://syncope.apache.org/security