关键信息 漏洞标识 安全公告编号: WSO2-2025-4104/CVE-2025-4760 发布日期: 2025-07-15 更新日期: 2025-07-15 版本: 1.0.0 严重性: 中等 CVSS评分: 4.8 (CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/LI:L/A:N) 影响产品 WSO2 API Manager: 3.2.0, 3.2.1, 4.1.0, 4.2.0, 4.3.0, 4.4.0, 4.5.0 WSO2 API Control Plane: 4.5.0 WSO2 Universal Gateway: 4.5.0 WSO2 Traffic Manager: 4.5.0 概述 漏洞类型: 认证存储的跨站脚本(XSS) 描述 由于验证不当,具有发布者权限的用户可以通过向发布者上传API文档文件来利用存储的跨站脚本(XSS)漏洞。 影响 利用XSS攻击,恶意行为者可以使浏览器重定向到恶意网站、更改网页UI、从浏览器检索信息或以其他方式造成损害。然而,由于所有与会话相关的敏感cookie都设置了HttpOnly标志并受到保护,因此不可能进行会话劫持或其他类似攻击。 解决方案 社区用户(开源): 应用提供的公共修复程序。 - GitHub修复链接 如果应用修复或更新不可行,请迁移到受影响产品的最新不受影响版本。 支持订阅持有者: 更新产品到指定的更新级别或更高更新级别以应用修复。 致谢 WSO2感谢Pham Ho Anh Dung负责地报告了识别出的问题,并与我们合作解决。