CRITICAL🇬🇧 English

CVE-2025-9804

Nieprawidłowa kontrola dostępu w wewnętrznych API WSO2 (SOAP/REST)

CVSS 9.6v3.1pub. 2025-10-16upd. 2025-11-21

Wiele produktów WSO2 zawiera podatność improper access control w wewnętrznych interfejsach administracyjnych SOAP Admin Services oraz systemowych REST API. Użytkownik z niskimi uprawnieniami może wykonywać nieautoryzowane operacje, w tym uzyskiwać dostęp do informacji na poziomie serwera.

Pokaż oryginał (EN)

An improper access control vulnerability exists in multiple WSO2 products due to insufficient permission enforcement in certain internal SOAP Admin Services and System REST APIs. A low-privileged user may exploit this flaw to perform unauthorized operations, including accessing server-level information. This vulnerability affects only internal administrative interfaces. APIs exposed through the WSO2 API Manager's API Gateway remain unaffected.

🤖 Analiza AI
Jak działa

Podatność wynika z niewystarczającego wymuszania uprawnień w określonych wewnętrznych usługach SOAP Admin Services i systemowych REST API. Użytkownik z niskimi uprawnieniami, posiadający dostęp do sieci lokalnej, może wysyłać żądania do tych interfejsów bez odpowiedniej weryfikacji uprawnień. W rezultacie możliwe jest wykonywanie operacji zastrzeżonych dla administratorów, takich jak odczyt informacji konfiguracyjnych serwera.

Skutki

Atakujący z niskimi uprawnieniami i dostępem do sieci lokalnej może uzyskać nieautoryzowany dostęp do wrażliwych informacji na poziomie serwera oraz wykonywać nieautoryzowane operacje administracyjne, co może prowadzić do naruszenia poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2025/WSO2-2025-4503/. Dodatkowo zaleca się ograniczenie dostępu sieciowego do wewnętrznych interfejsów administracyjnych wyłącznie do zaufanych hostów i sieci.

Kogo dotyczy

WSO2 API Manager Analytics, WSO2 Open Banking AM, WSO2 Open Banking KM, WSO2 Data Analytics Server, WSO2 Identity Server Analytics — konkretne wersje wskazane w referencjach producenta. Podatność dotyczy wyłącznie wewnętrznych interfejsów administracyjnych; API Gateway w WSO2 API Manager pozostaje nienaruszony.

Uwagi

Wektor ataku sieciowego to sieć lokalna (AV:A), co oznacza, że atakujący musi znajdować się w tej samej sieci co podatny serwer. Podatność nie dotyczy interfejsów API wystawionych przez WSO2 API Manager Gateway.

CVSS Vector
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Wso2 Api Control Plane

    APP
    Wso2
    4.5.0
  • Wso2 Api Manager

    APP
    Wso2
    2.0.02.1.02.2.02.5.02.6.03.0.03.1.03.2.03.2.14.0.04.1.04.2.04.3.04.4.04.5.0
  • Wso2 Api Manager Analytics

    APP
    Wso2
    2.0.02.1.02.2.02.5.0
  • Wso2 Data Analytics Server

    APP
    Wso2
    3.1.03.2.0
  • Wso2 Enterprise Integrator

    APP
    Wso2
    6.2.06.3.0
  • Wso2 Enterprise Mobility Manager

    APP
    Wso2
    2.2.0
  • Wso2 Enterprise Service Bus

    APP
    Wso2
    5.0.0
  • Wso2 Identity Server

    APP
    Wso2
    5.10.05.11.05.2.05.3.05.4.05.4.15.5.05.6.05.7.05.8.05.9.06.0.06.1.07.0.07.1.0
  • Wso2 Identity Server Analytics

    APP
    Wso2
    5.2.05.3.05.5.05.6.0
  • Wso2 Identity Server As Key Manager

    APP
    Wso2
    5.10.05.3.05.5.05.6.05.7.05.9.0
  • Wso2 Open Banking Am

    APP
    Wso2
    1.4.01.5.02.0.0
  • Wso2 Open Banking Iam

    APP
    Wso2
    2.0.0
  • Wso2 Open Banking Km

    APP
    Wso2
    1.4.01.5.0
  • Wso2 Traffic Manager

    APP
    Wso2
    4.5.0
  • Wso2 Universal Gateway

    APP
    Wso2
    4.5.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2022-29464CRITICAL9.8⚠ KEVten sam produkt

Certain WSO2 products allow unrestricted file upload with resultant remote code execution. The attacker must u...

CVE-2025-13590CRITICAL9.1PL ✓ten sam produkt

WSO2 API Manager – RCE przez upload pliku z uprawnieniami administratora

CVE-2025-9312CRITICAL9.8PL ✓ten sam produkt

Brak wymuszania uwierzytelniania mTLS w produktach WSO2 — nieautoryzowany dostęp administracyjny

CVE-2025-10611CRITICAL9.8PL ✓ten sam produkt

Pominięcie kontroli dostępu w produktach WSO2 – nieautoryzowany dostęp administracyjny

CVE-2025-9152CRITICAL9.8PL ✓ten sam produkt

WSO2 API Manager — brak uwierzytelniania w endpoincie DCR umożliwia eskalację uprawnień