nvd,bdu
Wso2
Уязвимости
122
Эксплуатируемые
1
Критический
14
Высокий
24
Топ продуктов
Api Manager78Identity Server67Identity Server As Key Manager42Enterprise Integrator32Open Banking Iam23Api Control Plane18Open Banking Am17Traffic Manager16Universal Gateway15Api Manager Analytics11Api Microgateway11Identity Server Analytics11Open Banking Km8Data Analytics Server7Iot Server7Micro Integrator5Dashboard Server4Wso2 Api Manager4Carbon3Wso2 Enterprise Integrator3
Топ уязвимостей
CVE-2025-9312Отсутствующая уязвимость при обеспечении соблюдения аутентификации существует во взаимной реализации TLS (mTLS), используемой API System REST и SOAP-сервисами в нескольких продуктах WSO2. Из-за неправильной проверки подлинности на основе сертификата клиента в определенных конфигурациях по умолчанию затронутые компоненты могут разрешать неаутентифицированные запросы даже при включении mTLS. Это условие возникает при использовании параметров mTLS по умолчанию для API System REST или когда аутентификатор mTLS включен для служб SOAP, в результате чего эти интерфейсы принимают запросы без обеспечения дополнительной аутентификации.
Успешная эксплуатация позволяет злоумышленнику с сетевым доступом к затронутым конечным точкам получать административные привилегии и выполнять несанкционированные операции. Уязвимость может быть использована только тогда, когда затронутые потоки mTLS включены и доступны в данном развертывании. Другие механизмы аутентификации на основе сертификатов, такие как аутентификация клиента Mutual TLS OAuth и потоки входа в систему X.509, не затронуты, и API-интерфейсы, обслуживаемые через API-штамм WSO2 API Manager, остаются незатронутыми.
CVE-2025-9152Неправильная уязвимость управления привилегиями существует в WSO2 API-дисплее из-за отсутствующих проверок аутентификации и авторизации в конечной точке динамической регистрации клиента (DCR) Keymanager-операций.
Вредоносный пользователь может использовать этот недостаток для создания токенов доступа с повышенными привилегиями, что может привести к административному доступу и возможности выполнять несанкционированные операции.
CVE-2025-10611Из-за недостаточной реализации контроля доступа в нескольких продуктах WSO2 проверки аутентификации и авторизации для некоторых API REST могут быть обойдены, что позволяет их вызывать без надлежащей проверки.
Успешная эксплуатация этой уязвимости может привести к тому, что злоумышленник получит административный доступ и выполнит неаутентифицированные и несанкционированные административные операции.
CVE-2024-6914В нескольких продуктах WSO2 существует уязвимость неправильной авторизации из-за логической ошибки в служебной службе SOAP, связанной с восстановлением учетной записи. Злоумышленник может воспользоваться этой уязвимостью, чтобы сбросить пароль любой учетной записи пользователя, что приведет к полному захвату учетной записи, включая учетные записи с повышенными привилегиями [1].
Дополнительная информация из источника 1: Эта уязвимость может быть эксплуатирована только через служебные службы SOAP, доступные через контекст /services в затронутых продуктах. Если вы следовали Руководству по безопасности для производственной среды и ограничили доступ к этим конечным точкам из ненадежных сетей, воздействие снижается [2].
Источники:
- [1] https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2024/WSO2-2024-3561/
- [2] https://security.docs.wso2.com/en/latest/security-guidelines/security-guidelines-for-production-deployment/
CVE-2022-29464Определенные продукты WSO2 допускают неограниченную загрузку файлов с последующим удаленным выполнением кода. Злоумышленник должен использовать конечную точку /fileupload с последовательностью обхода каталогов Content-Disposition для достижения каталога под веб-корнем, такого как каталог ../../../../repository/deployment/server/webapps. Это затрагивает WSO2 API Manager с 2.2.0 до 4.0.0, WSO2 Identity Server с 5.2.0 до 5.11.0, WSO2 Identity Server Analytics 5.4.0, 5.4.1, 5.5.0 и 5.6.0, WSO2 Identity Server as Key Manager с 5.3.0 до 5.11.0, WSO2 Enterprise Integrator с 6.2.0 до 6.6.0, WSO2 Open Banking AM с 1.4.0 до 2.0.0 и WSO2 Open Banking KM с 1.4.0 до 2.0.0.
CVE-2020-13226WSO2 API Manager 3.0.0 неправильно ограничивает исходящий сетевой доступ с узла Publisher, открывая возможность SSRF для всей интрасети этого узла.
BDU:2022-02512Уязвимость платформы для интеграции интерфейсов прикладного программирования, приложений и веб-служб WSO2 связана с возможностью загрузки произвольного JSP-файла на сервер. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
CVE-2025-2905Уязвимость XML External Entity (XXE) существует в компоненте gateway WSO2 API Manager из-за недостаточной проверки XML-ввода в специально сформированных URL- путях. Пользовательский XML обрабатывается без надлежащих ограничений, что позволяет выполнять внешние сущности.
Эта уязвимость может быть эксплуатирована неаутентифицированным удаленным злоумышленником для чтения файлов с файловой системы сервера или выполнения атак типа «отказ в обслуживании» (DoS). Степень воздействия зависит от среды выполнения Java: на JDK 7 или ранних версиях JDK 8 содержимое файла может быть полностью раскрыто, в то время как на более поздних версиях JDK 8 и новее может быть прочитана только первая строка файла. Для устранения уязвимости рекомендуется применить исправление, выпущенное для WSO2-2016-0151 [1].
Источники:
- [1] https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2025/WSO2-2025-3993/
CVE-2025-10713Уязвимость XML External Entity (XXE) существует в нескольких продуктах WSO2 из-за неправильной конфигурации парсера XML. Приложение анализирует поставляемый пользователям XML без применения достаточных ограничений, что позволяет разрешать внешние сущности.
Успешная атака может позволить удаленному, неаутентифицированному злоумышленнику читать конфиденциальные файлы из файловой системы сервера или выполнять атаки типа «отказ в обслуживании» (DoS), которые делают затронутые услуги недоступными.
CVE-2024-2374XML-парсеры в нескольких продуктах WSO2 принимают данные XML, поставляемые пользователем, без надлежащей настройки для предотвращения разрешения внешних объектов. Это упущение позволяет злоумышленникам создавать полезные нагрузки XML, которые используют поведение парсера, что приводит к включению внешних ресурсов.
Используя эту уязвимость, злоумышленник может читать конфиденциальные файлы из файловой системы и получать доступ к ограниченным HTTP-ресурсам, доступным продуктом. Кроме того, уязвимость может быть использована для выполнения атак типа «отказ в обслуживании», исчерпав ресурсы сервера за счет рекурсивного расширения объекта или получения больших внешних ресурсов.
CVE-2021-42646Уязвимость XML External Entity (XXE) в функции создания поставщика служб на основе файлов консоли управления в WSO2 API Manager 2.6.0, 3.0.0, 3.1.0, 3.2.0 и 4.0.0; и WSO2 IS в качестве Key Manager 5.7.0, 5.9.0 и 5.10.0; и WSO2 Identity Server 5.7.0, 5.8.0, 5.9.0, 5.10.0 и 5.11.0. Позволяет злоумышленникам получить доступ для чтения к конфиденциальной информации или вызвать отказ в обслуживании с помощью специально созданных GET-запросов.
CVE-2020-24590Консоль управления в WSO2 API Manager до версии 3.1.0 и API Microgateway 2.2.0 допускает атаки расширения XML Entity.
CVE-2020-24589Консоль управления в WSO2 API Manager до версии 3.1.0 и API Microgateway 2.2.0 допускает внедрение XML External Entity (XXE).
BDU:2026-02584Уязвимость платформы для интеграции интерфейсов прикладного программирования, приложений и веб-служб WSO2 связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить XXE-атаки
CVE-2025-8325Программное обеспечение не обеспечивает контроль доступа на основе ролей для определенных вызовов Gateway API. Пользователи с ролью «Внутренний/Все» могут вызывать эти API, минуя предполагаемые проверки разрешений. Эта же уязвимость также затрагивает API внутренней службы, потенциально разоблачая их в версиях WSO2 APIM 3.x.
Злонамеренный субъект с действительной учетной записью пользователя при уязвимом развертывании может выполнять конфиденциальные операции против Gateway REST API независимо от их фактических ролей или привилегий. Это может привести к непреднамеренному поведению или неправильному использованию, особенно в производственных средах.
CVE-2025-6670Уязвимость Cross-Site Request Forgery (CSRF) существует в нескольких продуктах WSO2 из-за использования метода HTTP GET для операций по изменению состояния в админ-сервисах, в частности, в процессоре событий консоли Carbon. Хотя атрибут SameSite = Lax cookie используется в качестве смягчения, он неэффективен в этом контексте, поскольку позволяет отправлять файлы cookie с помощью навигации верхних уровней с использованием запросов GET.
Злоумышленник может использовать эту уязвимость, обманывая аутентифицированного пользователя, чтобы он посетил созданную ссылку, что приводит к тому, что браузер выдает непреднамеренные запросы на изменение состояния. Успешная эксплуатация может привести к несанкционированным операциям, таким как модификация данных, изменения в учетных записях или другие административные действия. Согласно WSO2 Secure Production Guidelines, воздействие услуг углеродных консолей на ненадежных сетях не рекомендуется, что может уменьшить влияние на должным образом защищенные развертывания.
CVE-2020-24705В некоторых продуктах WSO2 обнаружена проблема. Действительный cookie сеанса Carbon Management Console может быть отправлен на сервер, контролируемый злоумышленником, если жертва отправляет специально созданный запрос Try It, также известный как Session Hijacking. Это затрагивает API Manager до версии 3.1.0, API Manager Analytics 2.5.0, IS as Key Manager до версии 5.10.0, Identity Server до версии 5.10.0, Identity Server Analytics до версии 5.6.0 и IoT Server 3.1.0.
CVE-2020-24703В некоторых продуктах WSO2 обнаружена проблема. Действительный cookie сеанса Carbon Management Console может быть отправлен на сервер, контролируемый злоумышленником, если жертва отправляет специально созданный запрос Try It, также известный как Session Hijacking. Это затрагивает API Manager 2.2.0, API Manager Analytics 2.2.0, API Microgateway 2.2.0, Data Analytics Server 3.2.0, Enterprise Integrator до версии 6.6.0, IS as Key Manager 5.5.0, Identity Server 5.5.0 и 5.8.0, Identity Server Analytics 5.5.0 и IoT Server 3.3.0 и 3.3.1.
CVE-2016-4311Уязвимость подделки межсайтовых запросов (CSRF) в функции потока XACML в WSO2 Identity Server 5.1.0 позволяет удаленным злоумышленникам перехватывать аутентификацию привилегированных пользователей для запросов, которые обрабатывают запросы XACML через запрос entitlement/eval-policy-submit.jsp.
CVE-2025-10470Поток аутентификации Magic Link принимает несколько недействительных запросов на аутентификацию без адекватного ограничения скорости или контроля ресурса, что приводит к неконтролируемому росту использования памяти.
Эта уязвимость может привести к состоянию отказа в обслуживании, что приведет к недоступности сервиса для развертываний, использующих аутентификатор Magic Link. Воздействие ограничено этими конкретными развертываниями и требует повторных попыток аутентификации срабатывания.
CVE-2023-6837Несколько продуктов WSO2 были идентифицированы как уязвимые для выдачи себя за другого пользователя с помощью JIT-провижининга. Чтобы эта уязвимость оказала какое-либо влияние на вашу конфигурацию, должны быть выполнены следующие условия:
* IDP, настроенный для федеративной аутентификации и JIT-провижининга, с включенной опцией "Запрос имени пользователя, пароля и согласия".
* Поставщик услуг, использующий вышеуказанный IDP для федеративной аутентификации и имеющий флаг "Утверждать идентификацию с использованием сопоставленного локального идентификатора субъекта".
Злоумышленник должен иметь:
* Свежий действительный аккаунт пользователя в федеративном IDP, который ранее не использовался.
* Знание имени пользователя действительного пользователя в локальном IDP.
Когда все предварительные условия выполнены, злоумышленник может использовать поток JIT-провижининга для выдачи себя за другого пользователя. Согласно источнику [1], уязвимость связана с потенциальной возможностью выдачи себя за другого пользователя при федеративной аутентификации с JIT-провижинингом при определенных настройках.
Источники:
- [1] https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2022/WSO2-2021-1573/
CVE-2024-1524Когда функция «Тольковременное обеспечение» включена для поставщика федеративной идентификации (IDP), существует риск того, что информация пользователя локального пользователя может быть заменена во время процесса предоставления учетной записи в тех случаях, когда пользователи с федерацией разделяют одно и то же имя пользователя, что и локальных пользователей.
Никакого влияния на ваше развертывание не будет, если какие-либо из предварительных условий, упомянутых ниже, не будут выполнены. Только при выполнении всех предварительных условий, упомянутых ниже, злоумышленник может связать целевую локальный учетную запись пользователя с федеративной учетной записью IDP, которую они контролируют.
Развертывание должно иметь:
- ВПЛ, настроенный для федеративной аутентификации с включенным обеспечением Silent JIT.
Злоумышленник должен иметь:
-Свежая действующая учетная запись пользователя в федеративном IDP, которая не использовалась ранее.
-знание имени пользователя действительного пользователя в локальном IDP.
-Учетная запись в федеративном IDP, соответствующая целевому локальному имени пользователя.
CVE-2025-8154В призывах к API Webhook компонент принимает пользовательский ввод для заголовков HTTP-запросов без достаточной проверки или санации, что позволяет вводить эти заголовки в ответы HTTP.
Используя эту уязвимость, злоумышленник может вводить или перезаписывать произвольные заголовки ответов HTTP. Это может привести к различным неблагоприятным последствиям, включая манипулирование кэшированием браузера, изменение заголовков, связанных с безопасностью, и инъекцию конфиденциальной информации, такой как значения файлов cookie, потенциально позволяющая угон сеансов или другие вредоносные действия.
CVE-2024-8010Компонент принимает XML-вход через издателя без отключения внешнего разрешения. Это позволяет злоумышленникам представлять созданную полезную нагрузку XML, которая использует неизбежную внешнюю ведомость.
Используя эту уязвимость, злоумышленник может читать конфиденциальные файлы из файловой системы продукта или получать доступ к ограниченным HTTP-ресурсам, доступным через HTTP-запросы GET к уязвимому продукту.
CVE-2023-6836Выявлено, что несколько продуктов WSO2 уязвимы для атаки XML External Entity (XXE), которая злоупотребляет широко доступной, но редко используемой функцией XML-парсеров для доступа к конфиденциальной информации.