JANS CLI本地存储明文密码路东CVE-2025-54876

Janssen Project 是Linux基金会托管的开源数字身份管理平台，专为 CIAM （客户身份与访问管理）设计，适于企业级应用和SaaS平台。

一、基本情况

Janssen Project基于Keycloak构建，支持 OAuth 2.0 、 OpenID Connect 、 FIDO2等一系列的安全协议，提供多租户架构和云原生设计。

Janssen Project是一个开放源代码的身份和访问管理（IAM）平台，平台提供了全面的OAuth2.0、OpenID Connect和其他安全协议支持。

Janssen Project 项目旨在简化身份验证和授权流程，同时保持高度灵活性和可定制性，是构建强大、灵活身份认证解决方案的理想选择。

栋科技漏洞库关注到Janssen Project平台受影响版本中存在漏洞，该漏洞现在已经被追踪为CVE-2025-54876，漏洞CVSS 4.0评分为6.9。

二、漏洞分析

CVE-2025-54876漏洞是 Janssen Project 项目的1.9.0和更低版本中存在的漏洞，漏洞源于其密码以明文形式存储在cli_cmd.log文件所致。

具体来说，安全人员检查Janssen Project 项目版本1.9.0-Jans和版本5.9.0-Flex时，注意到使用TUI创建用户或更改用户密码存在两个问题。

1、密码以明文形式存储在cli_cmd.log文件中

2、修改日期未被记录。

三、影响范围

The Janssen Project 1.9.0

The Janssen Project 5.9.0

四、修复建议

The Janssen Project > 5.9.0

五、参考链接

管理员已设置登录后刷新可查看