关键信息 漏洞标识 安全公告编号: WSO2-2025-3134/CVE-2025-0672 发布日期: 2025-06-19 更新日期: 2025-06-19 版本: 1.0.0 严重性: 低 CVSS评分: 3.3 (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:N) 影响产品 WSO2 Identity Server: 5.11.0, 5.10.0 WSO2 Identity Server as Key Manager: 5.10.0 WSO2 Open Banking IAM: 2.0.0 概述 潜在用户在部署支持FIDO身份验证时可能利用漏洞进行冒充。 描述 与FIDO注册设备关联的用户帐户在相应的用户帐户被删除时不会自动删除。此漏洞仅适用于使用FIDO身份验证的部署。 影响 如果在部署中使用了FIDO身份验证,当使用先前使用的用户名创建新用户帐户时,系统可能会自动将该帐户与之前用户注册的FIDO设备关联。这可能导致先前用户冒充新创建的帐户。 解决方案 社区用户(开源): 强烈建议迁移到各自WSO2产品的最新版本以缓解已识别的漏洞。 支持订阅持有者: 将产品更新到指定的更新级别或更高更新级别以应用修复。 更新级别