CVE-2025-62710 (CNNVD-202510-2795)
中文标题:
Sakai 安全漏洞
英文标题:
Sakai kernel-impl: predictable PRNG used to generate server‑side encryption key in EncryptionUtilityServiceImpl
漏洞描述
中文描述:
Sakai是Apereo Sakai开源的一个免费提供、功能丰富的技术解决方案,用于学习、教学、研究和协作。 Sakai 23.5之前版本和25.0之前版本存在安全漏洞,该漏洞源于使用非加密伪随机数生成器初始化AES256TextEncryptor密码,可能导致密钥被预测和数据解密。
英文描述:
Sakai is a Collaboration and Learning Environment. Prior to versions 23.5 and 25.0, EncryptionUtilityServiceImpl initialized an AES256TextEncryptor password (serverSecretKey) using RandomStringUtils with the default java.util.Random. java.util.Random is a non‑cryptographic PRNG and can be predicted from limited state/seed information (e.g., start time window), substantially reducing the effective search space of the generated key. An attacker who can obtain ciphertexts (e.g., exported or at‑rest strings protected by this service) and approximate the PRNG seed can feasibly reconstruct the serverSecretKey and decrypt affected data. SAK-49866 is patched in Sakai 23.5, 25.0, and trunk.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| sakaiproject | sakai | < 23.5 | - | - |
cpe:2.3:a:sakaiproject:sakai:<_23.5:*:*:*:*:*:*:*
|
| sakaiproject | sakai | < 25.0 | - | - |
cpe:2.3:a:sakaiproject:sakai:<_25.0:*:*:*:*:*:*:*
|
| sakailms | sakai | * | - | - |
cpe:2.3:a:sakailms:sakai:*:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
CVSS评分详情
3.1 (cna)
MEDIUMCVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2025-62710 |
2025-11-11 15:23:33 | 2025-11-11 07:40:49 |
| NVD | nvd_CVE-2025-62710 |
2025-11-11 15:01:06 | 2025-11-11 07:48:35 |
| CNNVD | cnnvd_CNNVD-202510-2795 |
2025-11-11 15:12:59 | 2025-11-11 08:00:18 |
版本与语言
安全公告
变更历史
查看详细变更
- vulnerability_type: 未提取 -> 其他
- cnnvd_id: 未提取 -> CNNVD-202510-2795
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- affected_products_count: 2 -> 3
- data_sources: ['cve'] -> ['cve', 'nvd']