प्लेटफ़ॉर्म
other
घटक
sparx-enterprise-architect
में ठीक किया गया
16.1.1628
CVE-2025-15622 describes a Credential Leak vulnerability affecting Sparx Enterprise Architect versions 16.1.1627 through 17.1.1714. This vulnerability allows the desktop client to inadvertently expose plaintext OAuth2 client secrets, potentially leading to unauthorized access and data compromise. A fix is expected from Sparx Systems, and users are advised to monitor for updates.
Sparx Enterprise Architect में CVE-2025-15622 कमजोरियाँ OAuth2 क्रेडेंशियल्स के उजागर होने के कारण एक महत्वपूर्ण सुरक्षा जोखिम पैदा करती हैं। डेस्कटॉप क्लाइंट अनजाने में OAuth2 क्लाइंट सीक्रेट को सादे पाठ में उजागर करता है। इस सीक्रेट तक पहुँच रखने वाला एक हमलावर इसे डिकोड कर सकता है और एक्सेस और आईडी टोकन प्राप्त करने के लिए इसका उपयोग कर सकता है, जिससे OpenID प्रमाणीकरण प्रवाह की सुरक्षा से समझौता हो सकता है। यह हमलावर को संरक्षित संसाधनों तक पहुँचने, वैध उपयोगकर्ताओं के रूप में प्रतिरूपण करने और Enterprise Architect परिवेश में अनधिकृत क्रियाएँ करने की अनुमति दे सकता है। ज्ञात फिक्स की अनुपस्थिति स्थिति को बढ़ा देती है, जिसके लिए सावधानीपूर्वक मूल्यांकन और शमन की आवश्यकता होती है।
CVE-2025-15622 का शोषण करने के लिए Sparx Enterprise Architect डेस्कटॉप क्लाइंट तक पहुँच की आवश्यकता होती है। एक हमलावर सोशल इंजीनियरिंग, मैलवेयर या उपयोगकर्ता के वर्कस्टेशन के समझौता होने के माध्यम से इस पहुँच प्राप्त कर सकता है। एक बार जब हमलावर के पास OAuth2 क्लाइंट सीक्रेट तक पहुँच हो जाती है, तो वह OpenID प्राधिकरण सर्वर से एक्सेस और आईडी टोकन का अनुरोध करने के लिए इसका उपयोग कर सकता है। इन टोकन का उपयोग तब संरक्षित संसाधनों तक पहुँचने या वैध उपयोगकर्ताओं के रूप में प्रतिरूपण करने के लिए किया जा सकता है। सीक्रेट के सादे पाठ के प्रकटीकरण को देखते हुए, शोषण की सरलता इसे एक महत्वपूर्ण चिंता का विषय बनाती है।
Organizations heavily reliant on Sparx Enterprise Architect for project management and collaboration, particularly those integrating it with other systems via OAuth2, are at increased risk. Environments where the desktop client is used by a large number of users or on shared devices are also more vulnerable.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (6% शतमक)
CISA SSVC
CVE-2025-15622 के लिए कोई आधिकारिक फिक्स उपलब्ध नहीं होने के कारण, Sparx Enterprise Architect का उपयोग करने वाले संगठनों को वैकल्पिक शमन उपायों को लागू करना चाहिए। इसमें डेस्कटॉप क्लाइंट तक पहुँच को सीमित करने के लिए नेटवर्क विभाजन, संदिग्ध पैटर्न के लिए नेटवर्क गतिविधि की गहन निगरानी और OAuth2 सीक्रेट को सादे पाठ में संग्रहीत या प्रसारित नहीं किया जाता है यह सुनिश्चित करने के लिए सुरक्षा प्रथाओं की समीक्षा करना शामिल है। Sparx Systems से संभावित भविष्य के समाधानों या पैच के बारे में जानकारी प्राप्त करने के लिए सीधे उनसे संपर्क करने की दृढ़ता से अनुशंसा की जाती है। इस बीच, यदि यह आवश्यक नहीं है तो OpenID प्रमाणीकरण को अक्षम करने पर विचार करें।
Actualice a la última versión disponible de Sparx Enterprise Architect para mitigar la vulnerabilidad. La actualización corrige la forma en que se manejan los secretos OAuth2, evitando la exposición de la clave en texto plano. Consulte la página de historial de versiones del producto para obtener más detalles sobre las actualizaciones disponibles.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
OAuth2 एक प्राधिकरण प्रोटोकॉल है जो तृतीय-पक्ष अनुप्रयोगों को उनके क्रेडेंशियल्स साझा किए बिना उपयोगकर्ता की ओर से संरक्षित संसाधनों तक पहुँचने की अनुमति देता है।
क्लाइंट सीक्रेट एक पासवर्ड है जिसका उपयोग क्लाइंट एप्लिकेशन प्राधिकरण सर्वर को प्रमाणित करने के लिए करता है।
यदि आपको संदेह है कि आपका क्लाइंट सीक्रेट समझौता किया गया है, तो आपको तुरंत मौजूदा टोकन को रद्द कर देना चाहिए और एक नया क्लाइंट सीक्रेट उत्पन्न करना चाहिए।
आज तक, Sparx Systems ने CVE-2025-15622 के बारे में कोई आधिकारिक बयान जारी नहीं किया है। अपडेट के लिए उनकी वेबसाइट और संचार चैनलों की निगरानी करें।
नेटवर्क सुरक्षा निगरानी उपकरण और घुसपैठ का पता लगाने वाले सिस्टम (IDS) को इस भेद्यता के शोषण से जुड़े संदिग्ध नेटवर्क ट्रैफ़िक पैटर्न का पता लगाने के लिए कॉन्फ़िगर किया जा सकता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।