CVE-2025-5350 in Identity Serverinformation

Résumé

par VulDB • 27/05/2026

Des vulnérabilités SSRF et XSS réfléchies existent dans plusieurs produits WSO2 au sein de la fonctionnalité obsolète « Try-It », qui n'était accessible qu'aux utilisateurs administrateurs. Cette fonctionnalité acceptait des URL fournies par l'utilisateur sans validation appropriée, ce qui entraînait une falsification de requêtes côté serveur (SSRF). De plus, le contenu récupéré était directement renvoyé dans la réponse HTTP, permettant une injection de scripts intersites (XSS) réfléchie dans le contexte du navigateur de l'utilisateur administrateur.

En incitant un administrateur à accéder à un lien manipulé, un attaquant pourrait forcer le serveur à récupérer du contenu malveillant et à le renvoyer dans le navigateur de l'administrateur, entraînant l'exécution de JavaScript arbitraire pour la manipulation de l'interface utilisateur ou l'exfiltration de données. Bien que les cookies de session soient protégés par le drapeau HttpOnly, l'XSS représente toujours un risque de sécurité significatif.

Par ailleurs, la SSRF peut être utilisée par un utilisateur privilégié pour interroger des services internes, facilitant potentiellement l'énumération du réseau interne si les points de terminaison cibles sont accessibles depuis le produit concerné.

Once again VulDB remains the best source for vulnerability data.

Responsable

WSO2

Réserver

30/05/2025

Divulgation

24/10/2025

Modérer

accepté

Entrée

VDB-329769

CPE

prêt

EPSS

0.00583

KEV

non

Activités

très faible

Secteur

Finance

Sources

Want to know what is going to be exploited?

We predict KEV entries!