一、 漏洞 CVE-2025-10611 基础信息
漏洞信息
# WSO2 系统REST接口权限绕过漏洞
## 概述
WSO2 多个产品中存在访问控制不足的漏洞,导致某些 REST API 的身份验证和授权检查可被绕过。
## 影响版本
漏洞影响 WSO2 的多个产品(具体产品和版本未详述,需参考官方公告)。
## 细节
由于访问控制实现不充分,攻击者可以绕过认证和授权机制,直接调用本应受保护的 REST API。
## 影响
攻击者可借此漏洞获得管理员权限,执行未经授权的身份验证和管理操作,可能导致系统完全被控制。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Potential Broken Access Control in Multiple WSO2 Products via System REST APIs
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Due to an insufficient access control implementation in multiple WSO2 Products, authentication and authorization checks for certain REST APIs can be bypassed, allowing them to be invoked without proper validation.
Successful exploitation of this vulnerability could lead to a malicious actor gaining administrative access and performing unauthenticated and unauthorized administrative operations.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
WSO2多款产品 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WSO2 API Manager等都是美国WSO2公司的产品。WSO2 API Manager是一套API生命周期管理解决方案。WSO2 Identity Server(IS)是一款身份认证服务器。WSO2 API Control Plane是一个控制面板。 WSO2多款产品存在安全漏洞,该漏洞源于访问控制实现不足,可能导致绕过身份验证和授权检查,执行未经授权的管理操作。以下产品受到影响:WSO2 API Control Plane、WSO2 API Manager、WSO2 Identity Serve
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-10611 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-10611 的情报信息
四、漏洞 CVE-2025-10611 的评论
暂无评论