Vulnerabilidad en WSO2 API Manager (CVE-2025-2905)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-611 Restricción incorrecta de referencia a entidad externa XML (XXE)

Fecha de publicación:

05/05/2025

Última modificación:

05/05/2025

Descripción

Existe una vulnerabilidad de Entidad Externa XML (XXE) en el componente de puerta de enlace de WSO2 API Manager debido a una validación insuficiente de la entrada XML en rutas URL manipulada. El XML proporcionado por el usuario se analiza sin las restricciones adecuadas, lo que permite la resolución de entidades externas. Esta vulnerabilidad puede ser explotada por un atacante remoto no autenticado para leer archivos del sistema de archivos del servidor o realizar ataques de denegación de servicio (DoS). * En sistemas con JDK 7 o versiones anteriores de JDK 8, el contenido completo de los archivos puede quedar expuesto. * En versiones posteriores de JDK 8 y posteriores, solo se puede leer la primera línea de un archivo, gracias a mejoras en el comportamiento del analizador XML. * Los ataques DoS, como los payloads "Billion Laughs", pueden causar interrupciones del servicio.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.10

Gravedad 3.x

CRÍTICA

Referencias a soluciones, herramientas e información

https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2025/WSO2-2025-3993/