Se ha descubierto una vulnerabilidad de severidad alta en productos Apache Syncope. Un actor malicioso podría reconstruir valores de contraseñas almacenadas en la base de datos interna debido al uso de una clave criptográfica fija, comprometiendo la confidencialidad de las credenciales de los usuarios.
Productos afectados
- Apache Syncope versiones 2.1 a 2.1.14
- Apache Syncope versiones 3.0 a 3.0.14
- Apache Syncope versiones 4.0 a 4.0.2
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-65998: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de gestión insegura de claves criptográficas. Un actor malicioso con acceso al contenido de la base de datos interna podría reconstruir las contraseñas en texto plano, dado que Apache Syncope utiliza una clave AES predeterminada y fija en el código fuente cuando el cifrado de contraseñas está habilitado.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-65998
- https://lists.apache.org/thread/fjh0tb0d1xkbphc5ogdsc348ppz88cts
- https://www.openwall.com/lists/oss-security/2025/11/24/1