WSO2 API Manager 2.0.0 及更早版本中发现了一个严重安全漏洞,对受影响的部署构成重大风险。该漏洞编号为 CVE-2025-2905 (CVSS 9.1),是网关组件中的一个 XML 外部实体 (XXE) 漏洞。
根据该通报,该问题源于处理精心设计的 URL 路径时对 XML 输入的验证不当。正如 WSO2所指出的,“解析用户提供的 XML 时未施加足够的限制,从而导致 XML 外部实体 (XXE) 解析”。此漏洞允许恶意行为者利用 XML 解析器与服务器上的本地资源进行交互。
XXE攻击成功的后果可能非常严重:
-
任意文件访问:攻击者可能会从服务器的文件系统读取文件。访问级别取决于 Java 运行时:
- 在 JDK 7 或早期的 JDK 8 上,完整的文件内容可能会被暴露。
- 在 JDK 8 及更高版本中,只能访问文件的第一行。
- 拒绝服务 (DoS):恶意 XML 负载可能触发资源耗尽,导致服务不可用。
WSO2 对研究员 crnkovic 负责任地报告该漏洞并合作解决该漏洞表示赞赏。
虽然此漏洞非常严重,但不会发布新的补丁。WSO2 确认,该漏洞已在之前的公告WSO2-2016-0151中得到修复。该补丁不仅解决了之前报告的 XSS漏洞,还顺便缓解了 CVE-2025-2905 漏洞。
对于尚未应用 2016 补丁的用户,强烈建议立即修复,因为它解决了 XSS 和 XXE漏洞。
发表评论
您还未登录,请先登录。
登录