关键漏洞信息 漏洞概述 漏洞编号: WSO2-2025-3992/CVE-2025-1862 发布日期: 2025-07-15 更新日期: 2025-07-15 版本: 1.0.0 严重性: 中等 CVSS评分: 6.7 (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:L) 影响产品 WSO2 Enterprise Integrator: 6.6.0 WSO2 Identity Server: 5.10.0, 5.11.0, 6.0.0, 6.1.0 WSO2 Open Banking IAM: 2.0.0 WSO2 Identity Server as Key Manager: 5.10.0 描述 在SOAP服务中发现了一个经过身份验证的任意文件上传漏洞。由于对BPEL上传器服务端点的用户名输入进行不当验证,具有管理权限的恶意行为者可以将任意文件上传到服务器上的用户控制位置。利用此漏洞,可以在服务器上获得远程代码执行。 影响 具有管理权限的恶意行为者可以通过易受攻击的端点上传特制的有效载荷来执行远程代码执行,可能危及服务器及其数据。 解决方案 社区用户(开源): 强烈建议迁移到各自WSO2产品的最新版本以缓解已识别的漏洞。 支持订阅持有者: 将产品更新到指定的更新级别或更高的更新级别以应用修复。 更新级别 致谢 感谢Luk Luk负责地报告了已识别的问题,并与我们合作解决。