CVE-2025-5350 in Identity Serverinformação

Sumário

de VulDB • 27/05/2026

Vulnerabilidades de SSRF e XSS Refletido existem em vários produtos WSO2 dentro do recurso Try-It descontinuado, que era acessível apenas a usuários administrativos. Este recurso aceitava URLs fornecidas pelo usuário sem validação adequada, levando à falsificação de requisições do lado do servidor (SSRF). Além disso, o conteúdo recuperado era refletido diretamente na resposta HTTP, permitindo a execução de cross-site scripting (XSS) refletido no contexto do navegador do usuário administrador.

Ao enganar um administrador para acessar um link elaborado, um atacante poderia forçar o servidor a buscar conteúdo malicioso e refleti-lo no navegador do administrador, levando à execução arbitrária de JavaScript para manipulação da interface do usuário ou exfiltração de dados. Embora os cookies de sessão sejam protegidos com a flag HttpOnly, o XSS ainda representa um risco significativo de segurança.

Além disso, o SSRF pode ser usado por um usuário privilegiado para consultar serviços internos, potencialmente auxiliando na enumeração da rede interna se os endpoints de destino forem alcançáveis a partir do produto afetado.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

WSO2

Reservar

30/05/2025

Divulgação

24/10/2025

Moderação

aceite

Entrada

VDB-329769

CPE

pronto

EPSS

0.00583

KEV

não

Atividades

muito baixo

Sector

Finance

Fontes

Do you need the next level of professionalism?

Upgrade your account now!