VDB-328802 · CVE-2025-9804 · GCVE-0-2025-9804

WSO2 Identity Server as Key Manager SOAP Admin Service/System REST API erweiterte Rechte

CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
7.4	$0-$5k	0.00

Zusammenfassunginfo

In WSO2 Identity Server as Key Manager, Identity Server, Open Banking KM, Open Banking IAM, Open Banking AM, API Manager, Identity Server Analytics, API Manager Analytics, Enterprise Integrator, Enterprise Service Bus Analytics, Data Analytics Server, Enterprise Mobility Manager, Universal Gateway, API Control Plane, Traffic Manager, org.wso2.carbon.extension.identity.authenticator.outbound.totp:org.wso2.carbon.extension.identity.authenticator.totp.connector, org.wso2.carbon.apimgt:org.wso2.carbon.apimgt.rest.api.util, org.wso2.carbon:org.wso2.carbon.base, org.wso2.carbon.identity.framework:org.wso2.carbon.identity.application.mgt, org.wso2.carbon:org.wso2.carbon.server.admin and org.wso2.carbon.identity.workflow.user:org.wso2.carbon.user.mgt.workflow wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Betroffen ist eine unbekannte Funktion der Komponente SOAP Admin Service/System REST API. Die Bearbeitung verursacht erweiterte Rechte. Die Identifikation der Schwachstelle wird mit CVE-2025-9804 vorgenommen. Der Angriff muss im lokalen Netzwerk durchgeführt werden. Es existiert kein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.

Detailsinfo

Eine Schwachstelle wurde in WSO2 Identity Server as Key Manager, Identity Server, Open Banking KM, Open Banking IAM, Open Banking AM, API Manager, Identity Server Analytics, API Manager Analytics, Enterprise Integrator, Enterprise Service Bus Analytics, Data Analytics Server, Enterprise Mobility Manager, Universal Gateway, API Control Plane, Traffic Manager, org.wso2.carbon.extension.identity.authenticator.outbound.totp:org.wso2.carbon.extension.identity.authenticator.totp.connector, org.wso2.carbon.apimgt:org.wso2.carbon.apimgt.rest.api.util, org.wso2.carbon:org.wso2.carbon.base, org.wso2.carbon.identity.framework:org.wso2.carbon.identity.application.mgt, org.wso2.carbon:org.wso2.carbon.server.admin sowie org.wso2.carbon.identity.workflow.user:org.wso2.carbon.user.mgt.workflow gefunden. Sie wurde als kritisch eingestuft. Dies betrifft ein unbekannter Teil der Komponente SOAP Admin Service/System REST API. Dank Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-284. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

An improper access control vulnerability exists in multiple WSO2 products due to insufficient permission enforcement in certain internal SOAP Admin Services and System REST APIs. A low-privileged user may exploit this flaw to perform unauthorized operations, including accessing server-level information. This vulnerability affects only internal administrative interfaces. APIs exposed through the WSO2 API Manager's API Gateway remain unaffected.

Auf security.docs.wso2.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 01.09.2025 als CVE-2025-9804 statt. Die Ausnutzbarkeit gilt als leicht. Der Angriff kann im lokalen Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle. MITRE ATT&CK führt die Angriffstechnik T1068 für diese Schwachstelle.

Ein Upgrade vermag dieses Problem zu beheben.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Produktinfo

Typ

Banking Software

Hersteller

WSO2

Name

Lizenz

Kommerziell

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 7.5
VulDB Meta Temp Score: 7.4

VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 6.5
NVD Vector: 🔒

CNA Base Score: 9.6
CNA Vector (WSO2): 🔒

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-284 / CWE-266
CAPEC: 🔒
ATT&CK: 🔒

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Timelineinfo

01.09.2025 CVE zugewiesen
16.10.2025 +45 Tage Advisory veröffentlicht
16.10.2025 +0 Tage VulDB Eintrag erstellt
21.11.2025 +36 Tage VulDB Eintrag letzte Aktualisierung