平台
other
组件
sparx-enterprise-architect
修复版本
16.1.1628
CVE-2025-15622 描述了 Sparx Systems Pty Ltd. Sparx Enterprise Architect 中的一个凭据保护不足漏洞。该漏洞允许客户端泄露明文的 OAuth2 客户端密钥,攻击者可利用该密钥获取访问和 ID 令牌,从而可能导致未经授权的访问。受影响的版本包括 16.1.1627 到 17.1.1714。目前尚未发布官方补丁。
Sparx Enterprise Architect 中的 CVE-2025-15622 漏洞因 OAuth2 凭据泄露而构成重大安全风险。桌面客户端意外地以明文形式泄露了 OAuth2 客户端密钥。 拥有此密钥的攻击者可以对其进行解码并使用它来获取访问和 ID 令牌,从而可能损害 OpenID 身份验证流程的安全性。 这可能允许攻击者访问受保护的资源、冒充合法用户并在 Enterprise Architect 环境中执行未经授权的操作。 缺乏已知的修复程序加剧了这种情况,需要仔细评估和缓解。
利用 CVE-2025-15622 需要访问 Sparx Enterprise Architect 桌面客户端。 攻击者可以通过社会工程、恶意软件或破坏用户工作站来获取此访问权限。 一旦攻击者获得 OAuth2 客户端密钥的访问权限,他们就可以使用它从 OpenID 授权服务器请求访问和 ID 令牌。 这些令牌随后可用于访问受保护的资源或冒充合法用户。 考虑到密钥以明文形式泄露,利用的简易性使其成为一个重大的问题。
Organizations heavily reliant on Sparx Enterprise Architect for project management and collaboration, particularly those integrating it with other systems via OAuth2, are at increased risk. Environments where the desktop client is used by a large number of users or on shared devices are also more vulnerable.
disclosure
漏洞利用状态
EPSS
0.02% (6% 百分位)
CISA SSVC
由于没有针对 CVE-2025-15622 的官方修复程序,因此使用 Sparx Enterprise Architect 的组织应实施替代缓解措施。 这包括对桌面客户端的网络进行分段以限制访问、对网络活动进行彻底监控以查找可疑模式,以及审查安全实践,以确保 OAuth2 密钥未以明文形式存储或传输。 强烈建议直接联系 Sparx Systems 以获取有关潜在未来解决方案或补丁的信息。 在此期间,请考虑禁用 OpenID 身份验证,如果它不是必需的。
Actualice a la última versión disponible de Sparx Enterprise Architect para mitigar la vulnerabilidad. La actualización corrige la forma en que se manejan los secretos OAuth2, evitando la exposición de la clave en texto plano. Consulte la página de historial de versiones del producto para obtener más detalles sobre las actualizaciones disponibles.
漏洞分析和关键警报直接发送到您的邮箱。
OAuth2 是一种授权协议,允许第三方应用程序在无需共享用户凭据的情况下代表用户访问受保护的资源。
客户端密钥是客户端应用程序用于向授权服务器进行身份验证的密码。
如果您怀疑您的客户端密钥已被泄露,您应该立即撤销现有令牌并生成新的客户端密钥。
截至今天,Sparx Systems 尚未发布关于 CVE-2025-15622 的官方声明。 监控其网站和通信渠道以获取更新。
网络安全监控工具和入侵检测系统 (IDS) 可以配置为检测与此漏洞的利用相关的可疑网络流量模式。