Api Control Plane
Уязвимости
18
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.00872
Распределение по критичности
Критический
4
Высокий
8
Средний
6
Низкий
0
Затронутые диапазоны версий
4.5.0–4.5.0.184.5.0–4.5.0.214.5.0–4.5.0.29
Также сопоставлено как (исходные строки): micro_integrator,enterprise_integrator,identity_server_as_key_manager,traffic_manager,open_banking_iam,api_manager_analytics,api_control_plane,api_manager,identity_server,open_banking_am,universal_gateway,open_banking_km
Топ уязвимостей
CVE-2025-9312Отсутствующая уязвимость при обеспечении соблюдения аутентификации существует во взаимной реализации TLS (mTLS), используемой API System REST и SOAP-сервисами в нескольких продуктах WSO2. Из-за неправильной проверки подлинности на основе сертификата клиента в определенных конфигурациях по умолчанию затронутые компоненты могут разрешать неаутентифицированные запросы даже при включении mTLS. Это условие возникает при использовании параметров mTLS по умолчанию для API System REST или когда аутентификатор mTLS включен для служб SOAP, в результате чего эти интерфейсы принимают запросы без обеспечения дополнительной аутентификации.
Успешная эксплуатация позволяет злоумышленнику с сетевым доступом к затронутым конечным точкам получать административные привилегии и выполнять несанкционированные операции. Уязвимость может быть использована только тогда, когда затронутые потоки mTLS включены и доступны в данном развертывании. Другие механизмы аутентификации на основе сертификатов, такие как аутентификация клиента Mutual TLS OAuth и потоки входа в систему X.509, не затронуты, и API-интерфейсы, обслуживаемые через API-штамм WSO2 API Manager, остаются незатронутыми.
CVE-2025-9152Неправильная уязвимость управления привилегиями существует в WSO2 API-дисплее из-за отсутствующих проверок аутентификации и авторизации в конечной точке динамической регистрации клиента (DCR) Keymanager-операций.
Вредоносный пользователь может использовать этот недостаток для создания токенов доступа с повышенными привилегиями, что может привести к административному доступу и возможности выполнять несанкционированные операции.
CVE-2025-10611Из-за недостаточной реализации контроля доступа в нескольких продуктах WSO2 проверки аутентификации и авторизации для некоторых API REST могут быть обойдены, что позволяет их вызывать без надлежащей проверки.
Успешная эксплуатация этой уязвимости может привести к тому, что злоумышленник получит административный доступ и выполнит неаутентифицированные и несанкционированные административные операции.
CVE-2025-10713Уязвимость XML External Entity (XXE) существует в нескольких продуктах WSO2 из-за неправильной конфигурации парсера XML. Приложение анализирует поставляемый пользователям XML без применения достаточных ограничений, что позволяет разрешать внешние сущности.
Успешная атака может позволить удаленному, неаутентифицированному злоумышленнику читать конфиденциальные файлы из файловой системы сервера или выполнять атаки типа «отказ в обслуживании» (DoS), которые делают затронутые услуги недоступными.
CVE-2025-8325Программное обеспечение не обеспечивает контроль доступа на основе ролей для определенных вызовов Gateway API. Пользователи с ролью «Внутренний/Все» могут вызывать эти API, минуя предполагаемые проверки разрешений. Эта же уязвимость также затрагивает API внутренней службы, потенциально разоблачая их в версиях WSO2 APIM 3.x.
Злонамеренный субъект с действительной учетной записью пользователя при уязвимом развертывании может выполнять конфиденциальные операции против Gateway REST API независимо от их фактических ролей или привилегий. Это может привести к непреднамеренному поведению или неправильному использованию, особенно в производственных средах.
CVE-2025-6670Уязвимость Cross-Site Request Forgery (CSRF) существует в нескольких продуктах WSO2 из-за использования метода HTTP GET для операций по изменению состояния в админ-сервисах, в частности, в процессоре событий консоли Carbon. Хотя атрибут SameSite = Lax cookie используется в качестве смягчения, он неэффективен в этом контексте, поскольку позволяет отправлять файлы cookie с помощью навигации верхних уровней с использованием запросов GET.
Злоумышленник может использовать эту уязвимость, обманывая аутентифицированного пользователя, чтобы он посетил созданную ссылку, что приводит к тому, что браузер выдает непреднамеренные запросы на изменение состояния. Успешная эксплуатация может привести к несанкционированным операциям, таким как модификация данных, изменения в учетных записях или другие административные действия. Согласно WSO2 Secure Production Guidelines, воздействие услуг углеродных консолей на ненадежных сетях не рекомендуется, что может уменьшить влияние на должным образом защищенные развертывания.
CVE-2025-8154В призывах к API Webhook компонент принимает пользовательский ввод для заголовков HTTP-запросов без достаточной проверки или санации, что позволяет вводить эти заголовки в ответы HTTP.
Используя эту уязвимость, злоумышленник может вводить или перезаписывать произвольные заголовки ответов HTTP. Это может привести к различным неблагоприятным последствиям, включая манипулирование кэшированием браузера, изменение заголовков, связанных с безопасностью, и инъекцию конфиденциальной информации, такой как значения файлов cookie, потенциально позволяющая угон сеансов или другие вредоносные действия.
CVE-2025-5717В нескольких продуктах WSO2 существует уязвимость удаленного выполнения кода (RCE) из-за неправильной проверки входных данных в сервисе администратора обработки событий. Пользователь с административными правами может использовать эту уязвимость, развернув план выполнения Siddhi, содержащий вредоносный Java-код, что приведет к выполнению произвольного кода на сервере.
Источники:
- [1] https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2025/WSO2-2025-4119/
CVE-2025-3125Уязвимость загрузки произвольного файла существует в нескольких продуктах WSO2 из-за неправильной валидации входа в конечную точку службы CarbonAppUploader. Аутентифицированный злоумышленник с соответствующими привилегиями может загрузить вредоносный файл в контролируемое пользователем местоположение на сервере, что может привести к удаленному исполнению кода (RCE).
Эта функциональность по умолчанию ограничена пользователям админ-пользователей; поэтому для успешной эксплуатации требуются действительные учетные данные с административными разрешениями.
CVE-2025-13590Злоумышленник с административными привилегиями может загружать произвольный файл в контролируемое пользователем местоположение в пределах развертывания через системный REST API. Успешные загрузки могут привести к удаленному исполнению кода.
Используя уязвимость, злоумышленник может выполнять функцию удаленного выполнения кода, загружая специально созданную полезную нагрузку.
CVE-2025-11093Уязвимость произвольного исполнения кода существует в нескольких продуктах WSO2 из-за недостаточных ограничений в двигателях GraalJS и NashornJS Script Mediator. Аутентифицированные пользователи с повышенными привилегиями могут выполнять произвольный код в среде выполнения интеграции.
По умолчанию доступ к этим движкам сценариев ограничен администраторами в WSO2 Micro Integrator и WSO2 Enterprise Integrator, в то время как в WSO2 API Manager доступ распространяется как на администраторов, так и на создателей API. Это может позволить доверенным, но привилегированным пользователям совершать несанкционированные действия или скомпрометировать среду исполнения.
CVE-2025-10907Уязвимость загрузки произвольного файла существует в нескольких продуктах WSO2 из-за недостаточной проверки загруженного контента и назначения в службах администрирования SOAP. Злоумышленник с административными привилегиями может загрузить специально созданный файл в контролируемое пользователем местоположение в пределах развертывания.
Успешное использование может привести к удаленному исполнению кода (RCE) на сервере в зависимости от того, как обрабатывается загруженный файл. По умолчанию эта уязвимость может быть использована только пользователями с административным доступом к затронутым SOAP-сервисам.
CVE-2025-9804Неправильное уязвимое требование контроля доступа существует в нескольких продуктах WSO2 из-за недостаточного контроля разрешений в некоторых внутренних службах SOAP Admin Services и System REST API. Низкопривилегированный пользователь может использовать этот недостаток для выполнения несанкционированных операций, включая доступ к информации на уровне сервера.
Эта уязвимость затрагивает только внутренние административные интерфейсы. API-интерфейсы, представленные через шлейпу API-дирижера WSO2 API, остаются незатронутыми.
CVE-2025-5770Отраженная уязвимость межсайтового скриптинга (XSS) существует в конечных точках аутентификации нескольких продуктов WSO2 из-за отсутствия кодирования вывода. Злоумышленник может вводить произвольные полезные нагрузки JavaScript в конечную точку аутентификации, которые отражаются обратно в ответе, что позволяет атаковать на основе браузера.
Эксплуатация может привести к перенаправлению на вредоносные веб-сайты, манипулированию пользовательским интерфейсом или несанкционированному доступу к данным из браузера жертвы. Тем не менее, связанные с сеансом файлы cookie защищены флагом httpOnly, который смягчает захват сеанса с помощью этого вектора.
CVE-2025-10853Отраженная уязвимость межсайтового скриптинга (XSS) существует в консоли управления несколькими продуктами WSO2 из-за неправильного кодирования вывода. Взмешав определенные параметры, злоумышленник может ввести произвольный JavaScript в ответ, что приводит к отражению XSS.
Успешная эксплуатация может привести к манипулированию пользовательским интерфейсом, перенаправлению на вредоносные веб-сайты или краже данных из браузера. Тем не менее, чувствительные файлы cookie, связанные с сеансом, защищены флагом httpOnly, что снижает риск угона сеанса.
CVE-2025-5605Уязвимость обхода подлинности существует в консоли управления нескольких продуктов WSO2. Злоумышленник, имеющий доступ к консоли, может манипулировать запросом URI для обхода аутентификации и доступа к определенным ограниченным ресурсам, что приводит к частичному раскрытию информации.
Известная экспозиция от этой проблемы ограничена статистикой памяти. Хотя уязвимость не позволяет полностью утилит, она по-прежнему обеспечивает несанкционированный доступ к внутренним деталям системы.
CVE-2025-5350SSRF и Reflected XSS уязвимости существуют в нескольких продуктах WSO2 в рамках устаревшей функции Try-It, которая была доступна только административным пользователям. Эта функция принимала URL-адреса, поставляемые пользователями, без надлежащей проверки, что привело к подделке запроса на стороне сервера (SSRF). Кроме того, полученный контент был непосредственно отражен в ответе HTTP, что позволило отражать межсайтовый скрипт (XSS) в контексте браузера пользователя admin.
Уговорив администратора получить доступ к созданной ссылке, злоумышленник может заставить сервер получить вредоносный контент и отразить его в браузере администратора, что приведет к произвольной казни JavaScript для манипулирования пользовательским интерфейсом или извлечения данных. В то время как сеансовые файлы cookie защищены флагом HttpOnly, XSS по-прежнему представляет значительный риск для безопасности.
Кроме того, SSRF может использоваться привилегированным пользователем для запроса внутренних служб, что может помочь во внутреннем сетевом перечислении, если целевые конечные точки доступны из затронутого продукта.
CVE-2025-4760В нескольких продуктах WSO2 существует уязвимость хранимого межсайтового скриптинга (XSS) из-за неправильной проверки пользовательского ввода при загрузке документа API в портале Publisher. Пользователь с привилегиями publisher может загрузить специально созданный документ API, содержащий вредоносный JavaScript, который позже будет выполнен в браузере других пользователей [1].
Успешная атака может привести к перенаправлению на вредоносные веб-сайты, несанкционированному изменению пользовательского интерфейса или хищению данных, доступных в браузере. Однако конфиденциальные cookie-файлы, связанные с сессией, защищены флагом httpOnly, что предотвращает захват сессии.
Источники:
- [1] https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2025/WSO2-2025-4104/