Vulnerabilidad en WSO2 (CVE-2025-13590)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/02/2026
Última modificación:
20/02/2026
Descripción
Un actor malicioso con privilegios administrativos puede cargar un archivo arbitrario a una ubicación controlada por el usuario dentro del despliegue a través de una API REST del sistema. Las cargas exitosas pueden conducir a la ejecución remota de código.<br />
<br />
Al explotar la vulnerabilidad, un actor malicioso puede realizar ejecución remota de código al cargar una carga útil especialmente diseñada.
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:wso2:api_control_plane:4.5.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:api_control_plane:4.6.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:api_manager:4.2.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:api_manager:4.3.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:api_manager:4.4.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:api_manager:4.5.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:api_manager:4.6.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:traffic_manager:4.5.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:traffic_manager:4.6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:universal_gateway:4.5.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:wso2:universal_gateway:4.6.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página