CRITICAL🇬🇧 English

CVE-2025-13590

WSO2 API Manager – RCE przez upload pliku z uprawnieniami administratora

CVSS 9.1v3.1pub. 2026-02-19upd. 2026-06-18

Podatność w produktach WSO2 API Manager oraz WSO2 API Control Plane umożliwia uwierzytelnionemu administratorowi przesłanie dowolnego pliku do lokalizacji kontrolowanej przez użytkownika za pośrednictwem systemowego REST API. Skuteczne wykorzystanie podatności może prowadzić do zdalnego wykonania kodu (RCE).

Pokaż oryginał (EN)

A malicious actor with administrative privileges can upload an arbitrary file to a user-controlled location within the deployment via a system REST API. Successful uploads may lead to remote code execution. By leveraging the vulnerability, a malicious actor may perform Remote Code Execution by uploading a specially crafted payload.

🤖 Analiza AI
Jak działa

Atakujący posiadający uprawnienia administratora może skorzystać z systemowego REST API, aby przesłać specjalnie spreparowany plik (payload) do wybranej lokalizacji w środowisku wdrożeniowym. Brak odpowiedniej walidacji przesyłanych plików (CWE-434 – Unrestricted Upload of File with Dangerous Type) pozwala na umieszczenie złośliwego kodu po stronie serwera. Następnie wykonanie takiego pliku przez serwer prowadzi do przejęcia kontroli nad systemem.

Skutki

Atakujący może uzyskać możliwość zdalnego wykonania dowolnego kodu na serwerze (RCE), co w praktyce oznacza pełne przejęcie kontroli nad systemem, potencjalny dostęp do wrażliwych danych oraz możliwość dalszego lateral movement w sieci organizacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami – szczegółowe instrukcje zawiera advisory WSO2-2025-4849 dostępne pod adresem https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2026/WSO2-2025-4849/. Do czasu aktualizacji zaleca się ograniczenie dostępu do systemowego REST API wyłącznie do zaufanych, autoryzowanych podmiotów oraz wzmocnienie kontroli nad kontami administracyjnymi.

Kogo dotyczy

WSO2 API Control Plane oraz WSO2 API Manager – wersje wskazane w referencjach producenta (szczegóły w security advisory WSO2-2025-4849)

Uwagi

Podatność wymaga posiadania uprawnień administracyjnych (PR:H), co nieco ogranicza powierzchnię ataku, jednak wysoki wynik CVSS 9.1 wynika z zakresu skutków (S:C) oraz braku konieczności interakcji użytkownika i możliwości eksploatacji zdalnie przez sieć.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Wso2 Api Control Plane

    APP
    Wso2
    4.5.04.6.0
  • Wso2 Api Manager

    APP
    Wso2
    4.2.04.3.04.4.04.5.04.6.0
  • Wso2 Traffic Manager

    APP
    Wso2
    4.5.04.6.0
  • Wso2 Universal Gateway

    APP
    Wso2
    4.5.04.6.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2022-29464CRITICAL9.8⚠ KEVten sam produkt

Certain WSO2 products allow unrestricted file upload with resultant remote code execution. The attacker must u...

CVE-2025-9312CRITICAL9.8PL ✓ten sam produkt

Brak wymuszania uwierzytelniania mTLS w produktach WSO2 — nieautoryzowany dostęp administracyjny

CVE-2025-10611CRITICAL9.8PL ✓ten sam produkt

Pominięcie kontroli dostępu w produktach WSO2 – nieautoryzowany dostęp administracyjny

CVE-2025-9152CRITICAL9.8PL ✓ten sam produkt

WSO2 API Manager — brak uwierzytelniania w endpoincie DCR umożliwia eskalację uprawnień

CVE-2025-9804CRITICAL9.6PL ✓ten sam produkt

Nieprawidłowa kontrola dostępu w wewnętrznych API WSO2 (SOAP/REST)