发布日期：2026-02-03
更新日期：2026-04-20

受影响系统：

Apache Apache Syncope >= 4.0 <= 4.0.3
Apache Apache Syncope >= 3.0 <= 3.0.15

描述：

---

CVE(CAN) ID: CVE-2026-23795

Apache Syncope是美国阿帕奇（Apache）基金会的一套用于企业环境中的开源数字身份管理系统,该系统支持身份管理、角色配置等。
Apache Syncope 3.0版本至3.0.15版本和4.0版本至4.0.3版本存在XML外部实体注入漏洞，该漏洞源于Console存在XML外部实体引用限制不当，攻击者可利用该漏洞通过控制台创建或编辑Keymaster参数，构造恶意的XML文本来发起XXE攻击，从而导致敏感数据泄露。

<**>

建议：

---

厂商补丁：

Apache
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://lists.apache.org/thread/mzgbdn8hzk8vr94o660njcc7w62c2pos

浏览次数：108
严重程度：0（网友投票）