关键信息 漏洞概述 漏洞编号: WSO2-2025-4115/CVE-2025-5605 发布日期: 2025-10-24 更新日期: 2025-10-24 严重性: 中等 CVSS评分: 4.3 (AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N) 影响产品 WSO2 API Control Plane: 4.5.0 WSO2 API Manager: 4.5.0, 4.4.0, 4.3.0, 4.2.0, 4.1.0, 4.0.0, 3.2.1, 3.2.0, 3.1.0 WSO2 Enterprise Integrator: 6.6.0 WSO2 Identity Server as Key Manager: 5.10.0 WSO2 Identity Server: 7.1.0, 7.0.0, 6.1.0, 6.0.0, 5.11.0, 5.10.0 WSO2 Open Banking AM: 2.0.0 WSO2 Open Banking IAM: 2.0.0 WSO2 Traffic Manager: 4.5.0 WSO2 Universal Gateway: 4.5.0 描述 恶意行为者可以通过操纵请求URI在管理控制台中获得对某些资源的未经授权访问,导致部分信息泄露。 影响 通过利用此问题,具有管理控制台访问权限的恶意行为者可以在没有有效用户凭据的情况下访问某些功能。当前已知的暴露是有限的内存统计信息。 解决方案 社区用户(开源): 应用提供的公共修复程序。 支持订阅持有者: 更新产品到指定的更新级别或更高版本以应用修复。 致谢 感谢Noël MACCARY负责地报告了识别出的问题并协助解决。