一、 漏洞 CVE-2025-9804 基础信息
漏洞信息
# WSO2产品内部接口权限绕过漏洞
## 概述
WSO2 多个产品中存在一个**不正确的访问控制漏洞**,由于部分内部 SOAP 管理服务和系统 REST API 的权限校验不充分,可能导致低权限用户越权执行操作。
## 影响版本
描述中未提供具体受影响产品的列表及版本号,建议查看 WSO2 官方公告或安全补丁以获取详细信息。
## 细节
漏洞存在于 WSO2 产品的内部管理接口中,具体为:
- 某些 **SOAP 管理服务**
- 某些 **系统级 REST API**
这些接口未进行严格的权限验证,攻击者可利用此漏洞执行以下操作:
- 越权执行管理操作
- 获取服务器级别的敏感信息
## 影响
- 攻击者可利用低权限账户进行**未经授权的管理操作**
- 可导致**敏感信息泄露**
- **不影响 WSO2 API Manager 的 API 网关接口**
漏洞仅局限于 WSO2 产品的内部管理接口。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Improper Access Control in Multiple WSO2 Products via Internal SOAP Admin Services and System REST APIs
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An improper access control vulnerability exists in multiple WSO2 products due to insufficient permission enforcement in certain internal SOAP Admin Services and System REST APIs. A low-privileged user may exploit this flaw to perform unauthorized operations, including accessing server-level information.
This vulnerability affects only internal administrative interfaces. APIs exposed through the WSO2 API Manager's API Gateway remain unaffected.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
WSO2多款产品 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WSO2 API Manager等都是美国WSO2公司的产品。WSO2 API Manager是一套API生命周期管理解决方案。WSO2 API Manager Analytics是一个分析组件。WSO2 API Control Plane是一个控制面板。 WSO2多款产品存在安全漏洞,该漏洞源于内部SOAP Admin Services和System REST API权限执行不足,可能导致低权限用户执行未授权操作。以下产品受到影响:API Manager Analytics、WSO2 API Contr
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-9804 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-9804 的情报信息
四、漏洞 CVE-2025-9804 的评论
暂无评论