2025年11月24日、Apacheが提供するオープンソースのID管理基盤「Apache Syncope」において、内部データベースに保存されているユーザーパスワードが、実質的に平文へ復元できてしまう脆弱性が公表されました。
概要
この脆弱性は CVE-2025-65998 として登録されており、Apacheは重要度を “Severity: important” としています。
問題の本質は、Syncopeが「内部DBにパスワードをAES暗号化して保存する」オプションを有効化した場合に、ソースコード内に埋め込まれたデフォルトAES鍵が常に使われてしまう という点です。
その結果、攻撃者が内部DBの内容を入手した場合、そのAES鍵さえ把握していれば、保存されているパスワード値をすべて元の平文に復元できてしまいます。
なお、この問題は「ユーザーパスワード属性」に限定されており、同じくAES暗号化を利用している「plain attributes(通常属性)」の暗号化方式には影響しないと説明されています。
脆弱性の対象バージョン
今回の脆弱性の影響を受けるのは、以下のApache Syncope(org.apache.syncope.core:syncope-core-spring)のバージョンです。
-
2.1 系:2.1 ~ 2.1.14
-
3.0 系:3.0 ~ 3.0.14
-
4.0 系:4.0 ~ 4.0.2
また、Syncope側の設定で「ユーザーパスワードをAES暗号化して内部データベースに保存する」オプションを有効にしている場合に、実際のリスクが顕在化します。
デフォルト設定ではAES保存は有効になっていないため、設定でAESを選択しているかどうかがポイントになります。
対策済みバージョン
Apacheは、この問題に対応する修正版として以下のバージョンを案内しています。
-
Apache Syncope 3.0 系:3.0.15
-
Apache Syncope 4.0 系:4.0.3
3.0.15および4.0.3では、AES暗号化に関する実装が修正され、ハードコードされたデフォルト鍵が使われる問題が解消されています。
一方、2.1 系については修正版が提供されていません。このため、2.1系を利用している環境では、3.0系または4.0系といったサポート対象のバージョンラインへ移行することが推奨されています。
関連記事
WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)
Spring Securityに認証バイパスの脆弱性、特定条件でプライベートメソッドが無防備に
Javaの人気フレームワークSpring Frameworkで重大な脆弱性(CVE-2024-38816)
Apache Tomcatに深刻な脆弱性、DoS攻撃やセキュリティルール回避のリスク- 迅速なアップデートを推奨(CVE-2025-31650)
Spring FrameworkのRFD 脆弱性-想定外のファイルダウンロードに要注意
-200x200.png)
Spring SecurityとFrameworkで注釈解決不備で認可回避の脆弱性(CVE-2025-41248/41249)
Apache Tomcatでリモートコード実行や情報 漏洩のリスクがある脆弱性(CVE-2025-24813)
Microsoft、ASP.NET Coreの重大な脆弱性 CVE-2025-55315を公表
Apache Parquet Javaの脆弱性(CVE-2025-30065)の検証・検出ツールをF5 Labsが公開
