CVE-2025-9604

A vulnerability was identified in coze-studio up to 0.2.4. The impacted element is an unknown function of the file backend/domain/plugin/encrypt/aes.go. The manipulation of the argument AuthSecretKey/StateSecretKey/OAuthTokenSecretKey leads to use of hard-coded cryptographic key . It is possible to initiate the attack remotely. The attack is considered to have high complexity. The exploitability is regarded as difficult. To fix this issue, it is recommended to deploy a patch. The vendor replied to the GitHub issue (translated from simplified Chinese): "For scenarios requiring encryption, we will implement user-defined key management through configuration and optimize the use of encryption tools, such as random salt."

Eine Schwachstelle wurde in coze-studio bis 0.2.4 gefunden. Es geht dabei um eine nicht klar definierte Funktion der Datei backend/domain/plugin/encrypt/aes.go. Durch Manipulation des Arguments AuthSecretKey/StateSecretKey/OAuthTokenSecretKey mit unbekannten Daten kann eine use of hard-coded cryptographic key -Schwachstelle ausgenutzt werden. Der Angriff kann über das Netzwerk passieren. Das Durchführen eines Angriffs ist mit einer relativ hohen Komplexität verbunden. Die Ausnutzung wird als schwierig beschrieben. Als bestmögliche Massnahme wird Patching empfohlen.