一、 漏洞 CVE-2025-9955 基础信息
漏洞信息
                                        # WSO2 企业集成器 SOAP 管理服务权限控制漏洞

## 概述

WSO2 Enterprise Integrator 存在一个**不正确的访问控制漏洞**,源于对系统日志和用户存储配置相关的内部 SOAP 管理服务缺乏充分的权限限制。

## 影响版本

未明确给出具体影响版本,建议参考官方公告或产品更新日志确认受影响范围。

## 细节

- 漏洞原因:内部 SOAP 管理服务未正确限制低权限用户的访问。
- 可被利用的行为:
  - 低权限用户可以访问系统日志数据。
  - 低权限用户可以查看用户存储(user-store)配置细节。
- 不涉及敏感信息泄漏(如凭证或用户隐私数据)。

## 影响

虽然不泄露凭证或敏感用户信息,但该漏洞可能导致攻击者获取内部操作细节,用于进一步的**攻击利用或侦察活动**。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Improper Access Control in WSO2 Enterprise Integrator Product via SOAP Admin Services for Logs and User-Store Configuration
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An improper access control vulnerability exists in WSO2 Enterprise Integrator product due to insufficient permission restrictions on internal SOAP admin services related to system logs and user-store configuration. A low-privileged user can access log data and user-store configuration details that are not intended to be exposed at that privilege level. While no credentials or sensitive user information are exposed, this vulnerability may allow unauthorized visibility into internal operational details, which could aid in further exploitation or reconnaissance.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
WSO2 Enterprise Integrator 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WSO2 Enterprise Integrator是美国WSO2公司的一套开源的混合集成平台。该平台支持多个应用程序之间进行通信。 WSO2 Enterprise Integrator存在安全漏洞,该漏洞源于内部SOAP管理服务权限限制不足,可能导致低权限用户访问日志数据和用户存储配置详情。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-9955 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-9955 的情报信息
四、漏洞 CVE-2025-9955 的评论

暂无评论

发表评论