目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1000 CNY

100.0%
コーヒーを一杯おごる

CVE-2025-9804— WSO2多款产品 安全漏洞

CVSS 8.9 · High EPSS 0.03% · P9
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2025-9804の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
Improper Access Control in Multiple WSO2 Products via Internal SOAP Admin Services and System REST APIs
ソース: NVD (National Vulnerability Database)
脆弱性説明
An improper access control vulnerability exists in multiple WSO2 products due to insufficient permission enforcement in certain internal SOAP Admin Services and System REST APIs. A low-privileged user may exploit this flaw to perform unauthorized operations, including accessing server-level information. This vulnerability affects only internal administrative interfaces. APIs exposed through the WSO2 API Manager's API Gateway remain unaffected.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
WSO2多款产品 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
WSO2 API Manager等都是美国WSO2公司的产品。WSO2 API Manager是一套API生命周期管理解决方案。WSO2 API Manager Analytics是一个分析组件。WSO2 API Control Plane是一个控制面板。 WSO2多款产品存在安全漏洞,该漏洞源于内部SOAP Admin Services和System REST API权限执行不足,可能导致低权限用户执行未授权操作。以下产品受到影响:API Manager Analytics、WSO2 API Contr
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
WSO2WSO2 Identity Server as Key Manager 5.3.0 ~ 5.3.0.41 -
WSO2WSO2 Identity Server 5.2.0 ~ 5.2.0.34 -
WSO2WSO2 Open Banking KM 1.4.0 ~ 1.4.0.133 -
WSO2WSO2 Open Banking IAM 2.0.0 ~ 2.0.0.409 -
WSO2WSO2 Open Banking AM 1.4.0 ~ 1.4.0.139 -
WSO2WSO2 API Manager 2.0.0 ~ 2.0.0.31 -
WSO2WSO2 Identity Server Analytics 5.2.0 ~ 5.2.0.19 -
WSO2API Manager Analytics 2.0.0 ~ 2.0.0.14 -
WSO2WSO2 Enterprise Integrator 6.2.0 ~ 6.2.0.62 -
WSO2WSO2 Enterprise Service Bus Analytics 5.0.0 ~ 5.0.0.13 -
WSO2WSO2 Data Analytics Server 3.1.0 ~ 3.1.0.20 -
WSO2WSO2 Enterprise Mobility Manager 2.2.0 ~ 2.2.0.28 -
WSO2WSO2 Universal Gateway 4.5.0 ~ 4.5.0.22 -
WSO2WSO2 API Control Plane 4.5.0 ~ 4.5.0.24 -
WSO2WSO2 Traffic Manager 4.5.0 ~ 4.5.0.22 -
WSO2org.wso2.carbon.extension.identity.authenticator.outbound.totp:org.wso2.carbon.extension.identity.authenticator.totp.connector 2.0.10 ~ 2.0.10.1 -
WSO2org.wso2.carbon.apimgt:org.wso2.carbon.apimgt.rest.api.util 6.7.206 ~ 6.7.206.567 -
WSO2org.wso2.carbon:org.wso2.carbon.base 4.4.7 ~ 4.4.7.6 -
WSO2org.wso2.carbon.identity.framework:org.wso2.carbon.identity.application.mgt 5.2.0 ~ 5.2.0.4 -
WSO2org.wso2.carbon:org.wso2.carbon.server.admin 4.4.7 ~ 4.4.7.6 -
WSO2org.wso2.carbon.identity.workflow.user:org.wso2.carbon.user.mgt.workflow 5.1.1 ~ 5.1.1.1 -

II. CVE-2025-9804の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2025-9804のインテリジェンス情報

登录查看更多情报信息。

Same Patch Batch · WSO2 · 2025-10-16 · 4 CVEs total

CVE-2025-106119.8 CRITICALPotential Broken Access Control in Multiple WSO2 Products via System REST APIs
CVE-2025-91529.8 CRITICALImproper Privilege Management in Multiple WSO2 API Manager via keymanager-operations DCR E
CVE-2025-99555.7 MEDIUMImproper Access Control in WSO2 Enterprise Integrator Product via SOAP Admin Services for

IV. 関連脆弱性

同じ製品: WSO2 Identity Server as Key Manager
同じベンダー: WSO2

V. CVE-2025-9804へのコメント

まだコメントはありません

コメントを残す