一、 漏洞 CVE-2025-2905 基础信息
漏洞信息
# WSO2 API 管理网关组件中未认证的XML外部实体(XXE)漏洞
## 概述
WSO2 API Manager 的网关组件存在一个 XML 外部实体 (XXE) 漏洞,原因是未对 URL 路径中的 XML 输入进行充分验证。用户提供的 XML 在解析时没有适当限制,从而导致外部实体解析。
## 影响版本
无具体版本说明,但描述了不同 JDK 版本下的漏洞影响。
## 细节
- 用户提供的 XML 输入在网关组件中进行解析时未进行适当验证。
- 攻击者可以通过构造恶意的 URL 路径来利用此漏洞。
## 影响
### 攻击场景
- **未认证的远程攻击者**可以利用此漏洞读取服务器文件系统中的文件。
- **拒绝服务 (DoS) 攻击**:通过发送 "Billion Laughs" 等攻击载荷,导致服务中断。
### 不同 JDK 版本下的影响
- **JDK 7 或早期 JDK 8**:可暴露文件的全部内容。
- **后期版本的 JDK 8 及更新版本**:只能读取文件的第一行,因为 XML 解析器的行为有所改进。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Unauthenticated XML External Entity (XXE) Vulnerability in WSO2 API Manager Gateway Component
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An XML External Entity (XXE) vulnerability exists in the gateway component of WSO2 API Manager due to insufficient validation of XML input in crafted URL paths. User-supplied XML is parsed without appropriate restrictions, enabling external entity resolution.
This vulnerability can be exploited by an unauthenticated remote attacker to read files from the server’s filesystem or perform denial-of-service (DoS) attacks.
*
On systems running JDK 7 or early JDK 8, full file contents may be exposed.
*
On later versions of JDK 8 and newer, only the first line of a file may be read, due to improvements in XML parser behavior.
*
DoS attacks such as "Billion Laughs" payloads can cause service disruption.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
XML外部实体引用的不恰当限制(XXE)
来源:美国国家漏洞数据库 NVD
漏洞标题
WSO2 API Manager 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WSO2 API Manager是美国WSO2公司的一套API生命周期管理解决方案。 WSO2 API Manager 2.0.0及之前版本存在安全漏洞,该漏洞源于网关组件XML输入验证不足,可能导致XML外部实体注入。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-2905 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
