В популярной платформе для управления доступом и идентификацией Apache Syncope обнаружена опасная уязвимость типа XXE (XML External Entity, или обработка внешних сущностей XML). Проблема, получившая идентификатор CVE-2026-23795, позволяет аутентифицированным администраторам проводить атаки и извлекать конфиденциальные данные из затронутых систем. Уязвимость была выявлена исследователями в области безопасности, известными под псевдонимами Follycat и Y0n3er.
Детали уязвимости
Основная проблема заключается в недостаточных ограничениях при обработке ссылок на внешние сущности XML в компоненте Console (Консоль) Apache Syncope. В частности, администратор с достаточными правами для создания или изменения параметров Keymaster может внедрить вредоносный (malicious) XML-код для осуществления XXE-атаки. Как следствие, злоумышленники получают возможность читать чувствительные файлы, получать доступ к внутренней информации системы и потенциально повышать свои привилегии в инфраструктуре управления идентификацией.
Эта уязвимость средней степени опасности представляет особую угрозу в средах IAM (Identity and Access Management), где администраторы управляют критически важными параметрами аутентификации и авторизации. Под угрозой оказались версии Apache Syncope с 3.0 по 3.0.15 и с 4.0 по 4.0.3. Организации, использующие эти версии, подвергаются немедленному риску утечки данных и несанкционированного доступа к учетным данным пользователей и токенам сессий.
Коллектив разработчиков Apache Syncope оперативно отреагировал на угрозу, выпустив патчи для устранения данного пробела в безопасности. Пользователям уязвимых версий настоятельно рекомендуется как можно скорее обновиться до Apache Syncope 3.0.16 или 4.0.4. Эти исправленные выпуски включают в себя усиленные механизмы синтаксического анализа XML, которые предотвращают эксплуатацию уязвимости через конфигурацию параметров Keymaster.
Для обеспечения безопасности эксперты рекомендуют организациям, использующим Apache Syncope, в срочном порядке приоритизировать процесс обновления. Кроме того, администраторам следует провести аудит конфигураций параметров Keymaster на предмет подозрительных XML-шаблонов и внимательно отслеживать журналы аудита консоли на предмет несанкционированных изменений параметров. Ключевой мерой также является внедрение принципа наименьших привилегий, который подразумевает строгое ограничение административного доступа только для уполномоченного персонала. Своевременное применение патчей и усиление контроля за административными операциями помогут смягчить риски, связанные с этой уязвимостью.
