The Management Console in WSO2 API Manager through 3.1.0 and API Microgateway 2.2.0 allows XML Entity Expansion attacks.
oryginał ENCVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:HWso2 Api Manager
APPWso2≤ 3.1.0Wso2 Api Microgateway
APPWso22.2.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Powiązane podatności
CVE-2022-29464CRITICAL9.8⚠ KEVten sam produkt
Certain WSO2 products allow unrestricted file upload with resultant remote code execution. The attacker must u...
CVE-2025-13590CRITICAL9.1PL ✓ten sam produkt
WSO2 API Manager – RCE przez upload pliku z uprawnieniami administratora
CVE-2025-9312CRITICAL9.8PL ✓ten sam produkt
Brak wymuszania uwierzytelniania mTLS w produktach WSO2 — nieautoryzowany dostęp administracyjny
CVE-2025-10611CRITICAL9.8PL ✓ten sam produkt
Pominięcie kontroli dostępu w produktach WSO2 – nieautoryzowany dostęp administracyjny
CVE-2025-9152CRITICAL9.8PL ✓ten sam produkt
WSO2 API Manager — brak uwierzytelniania w endpoincie DCR umożliwia eskalację uprawnień