← voltar
CVE-2025-15622

Sparx Enterprise Architect Client reveals plaintext OAuth2 client secret

CVSS 6.2 MEDIUMEPSS 0.2%CWE-522
Vexday Risk Score
13Baixo
Decisão SSVC (CISA)
Track
Sem sinal de exploração → monitorar
CVSS 6.2EPSS 0.2%KEV nãoPoC Nuclei Metasploit Patch
Ciclo de vida
17 abr 2026Publicada no NVD
Recomendação: Monitorar — sem sinal de exploração no momento.
Insufficiently Protected Credentials vulnerability in Sparx Systems Pty Ltd. Sparx Enterprise Architect. Client reveals plaintext OAuth2 client secretDesktop client decodes the secret and uses the plaintext secret to exchange it into an access and id tokens as part of the OpenID authentication flow.
CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:H/SI:L/SA:N/S:P/AU:Y/V:C/RE:M/U:Red
Produtos afetados
Sparx Systems Pty Ltd. · Sparx Enterprise Architect

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://sparxsystems.com/products/ea/17.1/history.html