CVE-2025-2905(CVSS 9.1):WSO2 API 管理器中发现严重 XXE 漏洞

阅读量5805

发布时间 : 2025-05-06 14:27:40

x
译文声明

本文是翻译文章,文章原作者 Ddos,文章来源:securityonline

原文地址:https://securityonline.info/cve-2025-2905-cvss-9-1-critical-xxe-vulnerability-found-in-wso2-api-manager/

译文仅供参考,具体内容表达以及含义原文为准。

WSO2,XXE漏洞CVE-2025-2905

WSO2 API Manager 2.0.0 及更早版本中发现了一个严重安全漏洞,对受影响的部署构成重大风险。该漏洞编号为 CVE-2025-2905 (CVSS 9.1),是网关组件中的一个 XML 外部实体 (XXE) 漏洞。

根据该通报,该问题源于处理精心设计的 URL 路径时对 XML 输入的验证不当。正如 WSO2所指出的,“解析用户提供的 XML 时未施加足够的限制,从而导致 XML 外部实体 (XXE) 解析”。此漏洞允许恶意行为者利用 XML 解析器与服务器上的本地资源进行交互。

XXE攻击成功的后果可能非常严重:

  • 任意文件访问:攻击者可能会从服务器的文件系统读取文件。访问级别取决于 Java 运行时:
    • 在 JDK 7 或早期的 JDK 8 上,完整的文件内容可能会被暴露。
    • 在 JDK 8 及更高版本中,只能访问文件的第一行。
  • 拒绝服务 (DoS):恶意 XML 负载可能触发资源耗尽,导致服务不可用。

WSO2 对研究员 crnkovic 负责任地报告该漏洞并合作解决该漏洞表示赞赏。

虽然此漏洞非常严重,但不会发布新的补丁。WSO2 确认,该漏洞已在之前的公告WSO2-2016-0151中得到修复。该补丁不仅解决了之前报告的 XSS漏洞,还顺便缓解了 CVE-2025-2905 漏洞。

对于尚未应用 2016 补丁的用户,强烈建议立即修复,因为它解决了 XSS 和 XXE漏洞

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66