CRITICAL🇵🇱 Wersja polska

CVE-2025-13590

CVSS 9.1v3.1pub. 2026-02-19upd. 2026-06-18

A malicious actor with administrative privileges can upload an arbitrary file to a user-controlled location within the deployment via a system REST API. Successful uploads may lead to remote code execution. By leveraging the vulnerability, a malicious actor may perform Remote Code Execution by uploading a specially crafted payload.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Wso2 Api Control Plane

    APP
    Wso2
    4.5.04.6.0
  • Wso2 Api Manager

    APP
    Wso2
    4.2.04.3.04.4.04.5.04.6.0
  • Wso2 Traffic Manager

    APP
    Wso2
    4.5.04.6.0
  • Wso2 Universal Gateway

    APP
    Wso2
    4.5.04.6.0
🔵
CHECK WITH VENDOR
No clear patch data available. Check vendor references.
Tags
RCE
CWE
References

Related vulnerabilities

CVE-2022-29464CRITICAL9.8⚠ KEVten sam produkt

Certain WSO2 products allow unrestricted file upload with resultant remote code execution. The attacker must u...

CVE-2025-9312CRITICAL9.8PL ✓ten sam produkt

Brak wymuszania uwierzytelniania mTLS w produktach WSO2 — nieautoryzowany dostęp administracyjny

CVE-2025-10611CRITICAL9.8PL ✓ten sam produkt

Pominięcie kontroli dostępu w produktach WSO2 – nieautoryzowany dostęp administracyjny

CVE-2025-9152CRITICAL9.8PL ✓ten sam produkt

WSO2 API Manager — brak uwierzytelniania w endpoincie DCR umożliwia eskalację uprawnień

CVE-2025-9804CRITICAL9.6PL ✓ten sam produkt

Nieprawidłowa kontrola dostępu w wewnętrznych API WSO2 (SOAP/REST)