CRITICAL🇬🇧 English

CVE-2025-10611

Pominięcie kontroli dostępu w produktach WSO2 – nieautoryzowany dostęp administracyjny

CVSS 9.8v3.1pub. 2025-10-16upd. 2025-11-21

Wiele produktów WSO2 zawiera błędną implementację kontroli dostępu, która umożliwia ominięcie mechanizmów uwierzytelniania i autoryzacji dla określonych interfejsów REST API. Podatność jest krytyczna, ponieważ nieuwierzytelniony atakujący może uzyskać pełny dostęp administracyjny do systemu.

Pokaż oryginał (EN)

Due to an insufficient access control implementation in multiple WSO2 Products, authentication and authorization checks for certain REST APIs can be bypassed, allowing them to be invoked without proper validation. Successful exploitation of this vulnerability could lead to a malicious actor gaining administrative access and performing unauthenticated and unauthorized administrative operations.

🤖 Analiza AI
Jak działa

Błąd polega na niewystarczającej implementacji kontroli dostępu (CWE-863 – nieprawidłowa autoryzacja) w warstwie obsługi żądań REST API. Atakujący może wywołać chronione endpointy API bez dostarczenia prawidłowych danych uwierzytelniających ani posiadania wymaganych uprawnień. Żądania kierowane do tych API nie przechodzą właściwej walidacji tożsamości i poziomu uprawnień, co skutkuje pełnym dostępem do operacji administracyjnych.

Skutki

Atakujący bez żadnych uprawnień może uzyskać dostęp administracyjny do systemu i wykonywać nieautoryzowane operacje zarządzania, w tym potencjalnie modyfikować konfigurację, zarządzać użytkownikami oraz kontrolować krytyczne funkcje platformy tożsamości i otwartej bankowości.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersjach poprawionych zawiera oficjalny biuletyn bezpieczeństwa WSO2 pod adresem: https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2025/WSO2-2025-4585/

Kogo dotyczy

WSO2 Open Banking AM, WSO2 Open Banking KM, WSO2 Traffic Manager, WSO2 Open Banking IAM, WSO2 Identity Server — wersje wskazane w referencjach producenta (advisory WSO2-2025-4585)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Wso2 Api Control Plane

    APP
    Wso2
    4.5.0
  • Wso2 Api Manager

    APP
    Wso2
    2.1.02.2.02.5.02.6.03.0.03.1.03.2.03.2.14.0.04.1.04.2.04.3.04.4.04.5.0
  • Wso2 Identity Server

    APP
    Wso2
    5.10.05.11.05.3.05.5.05.6.05.7.05.8.05.9.06.0.06.1.07.0.07.1.0
  • Wso2 Identity Server As Key Manager

    APP
    Wso2
    5.10.05.3.05.5.05.6.05.7.05.9.0
  • Wso2 Open Banking Am

    APP
    Wso2
    1.4.01.5.02.0.0
  • Wso2 Open Banking Iam

    APP
    Wso2
    2.0.0
  • Wso2 Open Banking Km

    APP
    Wso2
    1.4.01.5.0
  • Wso2 Traffic Manager

    APP
    Wso2
    4.5.0
  • Wso2 Universal Gateway

    APP
    Wso2
    4.5.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2022-29464CRITICAL9.8⚠ KEVten sam produkt

Certain WSO2 products allow unrestricted file upload with resultant remote code execution. The attacker must u...

CVE-2025-13590CRITICAL9.1PL ✓ten sam produkt

WSO2 API Manager – RCE przez upload pliku z uprawnieniami administratora

CVE-2025-9312CRITICAL9.8PL ✓ten sam produkt

Brak wymuszania uwierzytelniania mTLS w produktach WSO2 — nieautoryzowany dostęp administracyjny

CVE-2025-9152CRITICAL9.8PL ✓ten sam produkt

WSO2 API Manager — brak uwierzytelniania w endpoincie DCR umożliwia eskalację uprawnień

CVE-2025-9804CRITICAL9.6PL ✓ten sam produkt

Nieprawidłowa kontrola dostępu w wewnętrznych API WSO2 (SOAP/REST)