已在 WSO2 API Manager 2.0.0 及更早版本中发现了一个严重安全漏洞,该漏洞对受影响的部署构成重大风险。该漏洞被跟踪为 CVE-2025-2905 (CVSS 9.1),是网关组件中的 XML 外部实体 (XXE) 漏洞。
根据公告,该问题源于在处理构建的 URL 路径时对 XML 输入的验证不正确。正如 WSO2 所指出的,“用户提供的 XML 被解析,而不需要应用足够的限制,从而实现了 XML 外部实体 (XXE) 解析。此缺陷允许恶意行为者利用 XML 解析器与服务器上的本地资源进行交互。
成功的 XXE 攻击的后果可能很严重:
1. 任意文件访问:攻击者可能会从服务器的文件系统中读取文件。访问程度因 Java 运行时而异:
-
- 在 JDK 7 或早期的 JDK 8 中,可能会公开完整的文件内容。
- 在更高版本的 JDK 8 及更高版本中,只能访问文件的第一行。
2. 拒绝服务 (DoS):恶意 XML 负载可触发资源耗尽,导致服务不可用。
WSO2 感谢研究人员 crnkovic 负责任地报告了漏洞并合作解决了漏洞。
虽然此漏洞很严重,但不会发布新补丁。相反,WSO2 确认它已经在之前的公告中得到了解决:WSO2-2016-0151。该补丁解决了以前报告的 XSS 漏洞,并顺便缓解了 CVE-2025-2905。
对于尚未应用 2016 补丁的用户,强烈建议立即修复,因为它可以解决 XSS 和 XXE 漏洞。
发表评论
您还未登录,请先登录。
登录