CRITICAL🇬🇧 English

CVE-2025-9152

WSO2 API Manager — brak uwierzytelniania w endpoincie DCR umożliwia eskalację uprawnień

CVSS 9.8v3.1pub. 2025-10-16upd. 2025-10-21

W produktach WSO2 API Manager oraz WSO2 API Control Plane istnieje krytyczna podatność polegająca na braku wymaganych mechanizmów uwierzytelniania i autoryzacji w endpoincie Dynamic Client Registration (DCR) komponentu keymanager-operations. Umożliwia to nieuwierzytelnionemu atakującemu uzyskanie tokenów dostępu z podwyższonymi uprawnieniami, łącznie z dostępem administracyjnym.

Pokaż oryginał (EN)

An improper privilege management vulnerability exists in WSO2 API Manager due to missing authentication and authorization checks in the keymanager-operations Dynamic Client Registration (DCR) endpoint. A malicious user can exploit this flaw to generate access tokens with elevated privileges, potentially leading to administrative access and the ability to perform unauthorized operations.

🤖 Analiza AI
Jak działa

Endpoint DCR w komponencie keymanager-operations nie wymaga uwierzytelnienia ani autoryzacji (CWE-306: Missing Authentication for Critical Function). Atakujący może bezpośrednio wysyłać żądania do tego endpointu przez sieć, bez podawania żadnych danych uwierzytelniających. W wyniku tego możliwe jest wygenerowanie tokenów dostępu z rozszerzonymi uprawnieniami, które następnie mogą być użyte do wykonywania nieautoryzowanych operacji administracyjnych w systemie.

Skutki

Atakujący może uzyskać tokeny dostępu z uprawnieniami administracyjnymi i wykonywać dowolne nieautoryzowane operacje w systemie, co prowadzi do pełnego naruszenia poufności, integralności oraz dostępności platformy API Manager.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersjach naprawczych zawiera poradnik bezpieczeństwa WSO2 dostępny pod adresem: https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2025/WSO2-2025-4483/

Kogo dotyczy

WSO2 API Manager oraz WSO2 API Control Plane — konkretne wersje wskazane w referencjach producenta (WSO2-2025-4483)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Wso2 Api Control Plane

    APP
    Wso2
    4.5.0
  • Wso2 Api Manager

    APP
    Wso2
    3.2.03.2.14.0.04.1.04.2.04.3.04.4.04.5.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2022-29464CRITICAL9.8⚠ KEVten sam produkt

Certain WSO2 products allow unrestricted file upload with resultant remote code execution. The attacker must u...

CVE-2025-13590CRITICAL9.1PL ✓ten sam produkt

WSO2 API Manager – RCE przez upload pliku z uprawnieniami administratora

CVE-2025-9312CRITICAL9.8PL ✓ten sam produkt

Brak wymuszania uwierzytelniania mTLS w produktach WSO2 — nieautoryzowany dostęp administracyjny

CVE-2025-10611CRITICAL9.8PL ✓ten sam produkt

Pominięcie kontroli dostępu w produktach WSO2 – nieautoryzowany dostęp administracyjny

CVE-2025-9804CRITICAL9.6PL ✓ten sam produkt

Nieprawidłowa kontrola dostępu w wewnętrznych API WSO2 (SOAP/REST)

CVE-2025-9152 — WSO2 API Manager — brak uwierzytelniania w endpoincie DCR umożliwia eskalację uprawnień — CRITICAL 9.8 | CVEbaza.pl