MEDIUMCVE-2025-15621

Sparx Enterprise Architect 客户端在 OpenID 身份验证期间未验证 OAuth2 凭据的接收者

平台

other

组件

sparx-enterprise-architect

修复版本

16.1.1628

AI Confidence: high

NVD

EPSS 0.0%

已审阅: 2026年5月

在NVD查看

保存

CVE-2025-15621 是 Sparx Enterprise Architect 中的一个安全漏洞，该漏洞源于 OAuth2 身份验证过程中对凭证接收者未进行验证。这可能导致未经授权的访问。受影响的版本包括 16.1.1627 到 17.1.1714。

影响与攻击场景

CVE-2025-15621 影响 Sparx Systems Pty Ltd 的 Enterprise Architect，由于通过 OAuth2 的 OpenID 身份验证中凭据保护不足，导致用户面临重大风险。攻击者可能潜在地拦截或操纵身份验证流程，从而获得对应用程序内部敏感数据和功能的未经授权的访问。缺少接收者验证允许恶意第三方冒充合法的身份提供商，欺骗应用程序接受虚假凭据。潜在影响包括敏感项目信息的泄露、模型修改以及在极端情况下，完全控制 Enterprise Architect 实例。由于尚未发布修复程序，因此了解此漏洞并采取积极的预防措施至关重要。

利用背景

CVE-2025-15621 的利用需要攻击者能够拦截或操纵 Enterprise Architect 客户端和 OpenID 身份提供商之间的网络流量。这可以通过在不安全的网络上执行中间人 (MITM) 攻击来实现。攻击者可以设置一个冒充身份提供商的恶性服务器，并呈现有效的 SSL 证书来欺骗客户端。一旦客户端将凭据发送到恶性服务器，攻击者就可以使用它们作为合法用户进行身份验证。利用的复杂性将取决于网络配置和攻击者执行 MITM 攻击的能力。缺乏可用的修复程序增加了攻击者的机会窗口。

哪些人处于风险中翻译中…

Organizations heavily reliant on Sparx Enterprise Architect for software modeling, system design, and business process documentation are at risk. Specifically, deployments with OpenID authentication enabled and those lacking robust access control policies are particularly vulnerable. Any organization storing sensitive intellectual property within Enterprise Architect should prioritize monitoring and mitigation efforts.

攻击时间线

2026-04-16Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

报告1 份威胁报告

EPSS

0.02% (4% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

受影响的软件

组件sparx-enterprise-architect

供应商Sparx Systems Pty Ltd.

影响范围修复版本

16.1.1627 – 16.1.162716.1.1628

弱点分类 (CWE)

CWE-522

时间线

已保留2026-04-09
发布日期2026-04-16
EPSS 更新日期2026-04-24

未修复 — 披露已38天

缓解措施和替代方案

由于没有针对 CVE-2025-15621 的官方修复程序 (fix: none)，使用 Sparx Enterprise Architect 的组织应实施替代的缓解措施。强烈建议对网络进行分段，以限制对 Enterprise Architect 实例的访问。在所有用户帐户上实施多因素身份验证 (MFA) 可以增加额外的安全层。积极监控身份验证日志以查找可疑活动至关重要。即使它不直接解决漏洞，升级到 Enterprise Architect 的最新可用版本也可以提供一般的安全改进。最后，教育用户有关安全最佳实践（例如创建强密码和识别网络钓鱼电子邮件）对于降低被利用的风险至关重要。

修复方法翻译中…

Actualice a una versión corregida de Sparx Enterprise Architect. Consulte la página de historial de versiones de Sparx Systems para obtener más detalles sobre las versiones disponibles y las instrucciones de actualización: https://sparxsystems.com/products/ea/17.1/history.html.