CVE-2025-5350 in Identity Serverالمعلومات

الملخص

بحسب VulDB • 28/05/2026

توجد ثغرات SSRF و XSS المنعكس في عدة منتجات WSO2 ضمن ميزة Try-It المتقادمة، والتي كانت متاحة فقط للمستخدمين الإداريين. كانت هذه الميزة تقبل عناوين URL التي يقدمها المستخدمون دون التحقق منها بشكل صحيح، مما أدى إلى تزوير الطلبات من جانب الخادم (SSRF). بالإضافة إلى ذلك، تم عرض المحتوى المسترجع مباشرة في استجابة HTTP، مما مكن من تنفيذ ثغرة XSS المنعكس في سياق متصفح المستخدم الإداري.

من خلال خداع مسؤول للوصول إلى رابط مُعدّ بعناية، يمكن لمهاجم إجبار الخادم على جلب محتوى ضار وعرضه في متصفح المسؤول، مما يؤدي إلى تنفيذ شيفرة JavaScript تعسفية للتحكم في واجهة المستخدم أو لسرقة البيانات. وعلى الرغم من حماية ملفات تعريف الارتباط للجلسة باستخدام علم HttpOnly، لا تزال ثغرة XSS تشكل خطراً أمنياً كبيراً.

علاوة على ذلك، يمكن للمستخدم ذي الامتيازات استخدام SSRF للاستعلام عن الخدمات الداخلية، مما قد يساعد في تعداد الشبكة الداخلية إذا كانت نقاط النهاية المستهدفة قابلة للوصول من المنتج المتأثر.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

WSO2

حجز

30/05/2025

إفشاء

24/10/2025

الاعتدال

تمت الموافقة

إدخال

VDB-329769

EPSS

0.00583

KEV

لا

النشاطات

منخفض جدًا

القطاع

Finance

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!