Groovy

O Apache Syncope revelou uma vulnerabilidade crítica, identificada como CVE-2025-57738, que permite que administradores autenticados executem código arbitrário em sistemas afetados. Essa falha afeta todas as versões do Apache Syncope 3.x anteriores à 3.0.14 e 4.x anteriores à 4.0.2, expondo as organizações a riscos significativos de comprometimento do sistema por meio da injeção de código Groovy malicioso.

A vulnerabilidade reside na implementação personalizada do Syncope, que permite que administradores estendam a funcionalidade central ao enviar código Java ou Groovy. Enquanto as extensões Java requerem arquivos JAR pré-compilados, os scripts Groovy podem ser enviados como código-fonte simples e compilados em tempo de execução, sem restrições de segurança. Isso significa que qualquer administrador com permissão para criar ou atualizar implementações Groovy pode injetar scripts que o servidor executa com privilégios totais.