关键信息 漏洞标识 CVE编号: CVE-2025-9804 WSO2安全公告编号: WS02-2025-4503 影响的产品 WSO2 API Manager: 4.0.0, 3.2.0, 3.1.0, 3.0.0 WSO2 Analytics Dashboard: 4.0.0 WSO2 Identity Server: 6.0.0, 5.11.0, 5.10.0, 5.9.0, 5.8.0, 5.7.0, 5.6.0, 5.5.0, 5.4.0, 5.3.0, 5.2.0, 5.1.0, 5.0.0 WSO2 Data Analytics Server: 3.2.0, 3.1.0 WSO2 Enterprise Integrator: 6.6.0, 6.5.0, 6.4.0, 6.3.0, 6.2.0, 6.1.1, 6.1.0, 6.0.0 WSO2 Integration Studio: 8.0.0, 7.2.0 WSO2 Stream Processor: 4.0.0 WSO2 Business Rules: 2.0.0 WSO2 Developer Studio: 4.0.0 WSO2 DevOps Gateway: 4.0.0 漏洞描述 概述: 未经授权的参与者可以控制WSO2 API管理器和系统REST API,导致敏感信息泄露。 详细描述: 由于API访问控制中的漏洞,恶意参与者可以通过调用WSO2 API管理器的API来获取敏感信息。 影响 成功利用此漏洞可能导致恶意参与者执行未经授权的操作或访问受影响产品的敏感数据。 解决方案 社区用户(开源版本): 应用相关的修复程序以解决公共GitHub存储库中提到的问题。 支持订阅客户: 更新到指定的更新级别或使用提供的修补程序来应用修复。 CVSS评分 CVSS v3.1 Base Score: 7.5 CVSS v3.1 Vector: AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N ``` 这些信息总结了漏洞的关键细节,包括受影响的产品、漏洞描述、潜在影响以及如何解决该问题。