关键信息 漏洞概述 漏洞编号: WS02-2025-4585/CVE-2025-10611 发布日期: 2025年10月15日 版本: 1.0.0 严重性级别: Critical CVSS评分: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/I:H/A:H) CVE编号: CVE-2025-10611 影响的产品 WSO2 API Control Plane: 4.0.0 WSO2 API Manager: 多个版本(如4.5.0, 4.4.0等) WSO2 Identity Server as Key Manager: 多个版本(如5.10.0, 5.9.0等) WSO2 Identity Server: 多个版本(如7.1.0, 7.0.0等) WSO2 Open Banking AM: 2.0.0, 1.5.0, 1.4.0 WSO2 Open Banking KM: 1.5.0, 1.4.0 WSO2 Traffic Manager: 4.5.0 WSO2 Universal Gateway: 4.5.0 描述 问题: 系统REST API中的潜在访问控制缺陷。 原因: 由于不充分的访问控制实现,认证和授权选择可以被绕过,允许在没有适当验证的情况下进行调用。 影响 成功利用此漏洞可能导致恶意行为者获得管理权限并执行未经授权的管理操作。 解决方案 社区用户(开源): 应用提供的公共修复程序到受影响的产品。 支持订阅持有者: 更新产品到指定或更高版本,并参考WSO2支持门户上的客户公告以获取配置说明。 配置更改(强制性) 对于特定产品版本,除了应用更新外,还必须遵循提供的说明以确保部署中完全缓解漏洞。