Vulnérabilité critique dans WSO2 API Manager

Titre	Vulnérabilité critique dans WSO2 API Manager
Numéro de Référence	Numéro de Référence 54742705/25
Date de publication	Date de publication 27 mai 2025
Niveau de Risque	Niveau de Risque Critique
Niveau d'Impact	Niveau d'Impact Critique

Systèmes affectés:

WSO2 API Manager version antérieure à WSO2-2016-0151,

Identificateurs externes:

CVE-2025-2905

Bilan de la vulnérabilité:

Une vulnérabilité critique "XML External Entity" (XXE) a été identifiée dans le composant "Gateway" de "WSO2 API Manager". Elle résulte d’un défaut de validation des entrées XML via des chemins URL spécialement conçus, permettant une exploitation sans authentification. L’exploitation de cette faille peut permettre à un attaquant distant non authentifié de causer un déni de service ou de divulguer des informations sensibles.

Solution:

Veuillez se référer au bulletin de sécurité WSO2 du 21 Mai 2025 afin d’installer les nouvelles mises à jour.

Risque:

Déni de service
Divulgation des informations sensibles

Référence:

Bulletin de sécurité WSO2 du 21 Mai 2025:

https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2025/WSO2-2025-3993/

Brochure:

Vulnérabilité critique dans WSO2 API Manager.pdf