关键信息 漏洞概述 漏洞编号: WSO2-2025-3983/CVE-2025-1396 发布日期: 2025-07-15 更新日期: 2025-07-15 严重性: 低 (CVSS Score: 3.7) 影响产品 WSO2 Identity Server: 5.10.0, 5.11.0, 6.0.0, 6.1.0 WSO2 Open Banking IAM: 2.0.0 WSO2 Identity Server as Key Manager: 5.10.0 描述 当启用多属性登录时,WSO2产品会直接在登录表单上返回“用户不存在”错误消息,忽略 配置。这可能导致恶意行为者枚举部署中存在的用户名。 影响 发现有效用户名可能会增加暴力攻击、社会工程攻击和信息泄露的风险。例如,攻击者可以利用用户名列表制作定向钓鱼邮件或其他社会工程攻击,诱骗用户泄露敏感信息。 解决方案 社区用户(开源): 强烈建议迁移到各自WSO2产品的最新版本以缓解已识别的漏洞。 支持订阅持有者: 更新产品到指定的更新级别或更高更新级别以应用修复。 更新级别