Plataforma
java
Componente
io.jans:jans-config-api-server
Corregido en
1.8.1
1.8.0
La vulnerabilidad CVE-2025-53003 se refiere a la exposición de la API de configuración en el componente io.jans:jans-config-api-server. Esta API, diseñada para ser interna, se ha visto expuesta, permitiendo el acceso no autorizado a información sensible dentro del IDP, incluyendo clientes, usuarios y scripts. Esta vulnerabilidad afecta a todas las versiones de Janssen anteriores a la 1.8.0 y a Gluu Flex anteriores a la 5.8.0, y se recomienda una actualización inmediata para solucionar el problema.
La exposición de la API de configuración representa un riesgo significativo, ya que permite a un atacante acceder a una amplia gama de información confidencial. Esto incluye datos de usuarios, detalles de configuración de clientes, scripts de autenticación y otros parámetros críticos del IDP. Un atacante podría utilizar esta información para comprometer la seguridad del sistema, robar credenciales de usuario, modificar la configuración del IDP o incluso realizar ataques de escalada de privilegios. La naturaleza interna de la API amplía la superficie de ataque, exponiendo una gran cantidad de datos sensibles a posibles intrusos. La falta de controles de acceso adecuados ha facilitado esta exposición, convirtiéndola en una vulnerabilidad de alto impacto.
Actualmente no se dispone de información pública sobre la explotación activa de CVE-2025-53003. Sin embargo, la naturaleza de la vulnerabilidad (exposición de una API interna con información sensible) la convierte en un objetivo atractivo para los atacantes. La publicación de la vulnerabilidad el 30 de junio de 2025 indica que la información ha sido recientemente divulgada. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación.
Organizations utilizing Janssen or Gluu Flex for identity management are at risk, particularly those with deployments where the jans-config-api-server is inadvertently exposed to external networks. Shared hosting environments or deployments with relaxed network security policies are especially vulnerable.
• linux / server:
journalctl -u jans-config-api-server | grep -i "exposed to internet"• generic web:
curl -I <jans-config-api-server-ip> | grep Server• generic web:
curl -I <jans-config-api-server-ip> | grep -i "X-Powered-By"disclosure
Estado del Exploit
EPSS
0.11% (29% percentil)
CISA SSVC
La mitigación principal para CVE-2025-53003 es la actualización inmediata a la versión 1.8.0 de Janssen o a la versión 5.8.0 de Gluu Flex. Si la actualización causa problemas de compatibilidad, considere una reversión temporal a una versión anterior segura (si está disponible) mientras se evalúa la compatibilidad. Como medida adicional, implemente reglas en un firewall de aplicaciones web (WAF) o un proxy inverso para bloquear el acceso no autorizado a la API de configuración. Verifique que la API de configuración solo sea accesible desde la red interna y que no esté expuesta a Internet. Después de la actualización, confirme que la API de configuración no es accesible desde el exterior mediante un escaneo de puertos o una prueba de penetración.
Actualice Janssen Project a la versión 1.8.0 o superior. Como alternativa, puede aplicar el parche del commit 92eea4d construyendo la Config API desde el código fuente.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-53003 is a HIGH severity vulnerability that allows attackers to expose sensitive internal data within the Janssen Config API Server due to misconfiguration, impacting versions prior to 1.8.0.
Yes, if you are using Janssen versions earlier than 1.8.0 or Gluu Flex versions earlier than 5.8.0, you are potentially affected by this information disclosure vulnerability.
Upgrade to Janssen version 1.8.0 or Gluu Flex version 5.8.0 or later to remediate the vulnerability. Ensure proper network segmentation to prevent external access.
There is currently no public evidence of active exploitation, but the ease of exploitation makes it a potential target.
Refer to the Janssen project's GitHub releases page for details and the updated version: https://github.com/JanssenProject/jans/releases/tag/v1.8.0
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.