Krytyczna podatność w produktach WSO2
CSIRT CeZ ostrzega: krytyczna podatność w protokole Mutual TLS (mTLS) w produktach WSO2. Wykryta podatność otrzymała ocenę CVSS 9,8 (Critical) i umożliwia uzyskanie uprawnień administracyjnych i wykonanie nieautoryzowanych operacji, co stwarza poważne ryzyko kompromitacji systemów.
Charakterystyka podatności
- Oznaczenie: CVE-2025-9312
- Score CVSS: 9,8 Critical
Jak działa podatność?
Luka występuje w implementacji mutual TLS (mTLS) używanej przez Systemowe Interfejsy REST API oraz usługi SOAP w produktach WSO2. Problem polega na braku wymuszania uwierzytelnienia. Atakujący z dostępem sieciowym do punktów końcowych może uzyskać uprawnienia administracyjne i wykonywać nieautoryzowane operacje.
Podatne systemy
- WSO2 API Control Plane 4.5.0
- WSO2 API Manager: 4.5.0, 4.4.0, 4.3.0, 4.2.0, 4.1.0, 4.0.0, 3.2.1, 3.2.0, 3.1.0, 3.0.0, 2.6.0, 2.5.0, 2.2.0
- WSO2 Identity Server as Key Manager: 5.10.0, 5.9.0, 5.7.0, 5.6.0, 5.5.0, 5.3.0
- WSO2 Identity Server: 7.1.0, 7.0.0, 6.1.0, 6.0.0, 5.11.0, 5.10.0, 5.9.0, 5.8.0, 5.7.0, 5.6.0, 5.5.0, 5.4.1, 5.4.0, 5.3.0, 5.2.0
- WSO2 Open Banking KM: 1.5.0, 1.4.0
- WSO2 Open Banking AM: 2.0.0, 1.5.0, 1.4.0
- WSO2 Open Banking IAM: 2.0.0
- WSO2 Traffic Manager: 4.5.0
- WSO2 Universal Gateway: 4.5.0
Działania zapobiegawcze
Zalecamy natychmiastowe wdrożenie poprawek zgodnie z rekomendacjami producenta.
Ważne! Pamiętaj o regularnej aktualizacji oprogramowania!