CVE-2025-5350 in Identity ServerИнформация

Сводка

по VulDB • 27.05.2026

Уязвимости SSRF и отраженного XSS существуют в нескольких продуктах WSO2 в устаревшей функции Try-It, которая была доступна только административным пользователям. Эта функция принимала URL-адреса, предоставленные пользователем, без надлежащей проверки, что приводило к подделке серверных запросов (SSRF). Кроме того, полученное содержимое напрямую отражалось в ответе HTTP, что позволяло осуществлять отраженную межсайтовую скриптацию (XSS) в контексте браузера администратора.

Обманув администратора и заставив его перейти по специально созданной ссылке, злоумышленник мог принудить сервер загрузить вредоносное содержимое и отразить его в браузере администратора, что приводило к произвольному выполнению JavaScript для манипуляции интерфейсом или эксфильтрации данных. Хотя сеансовые cookie защищены флагом HttpOnly, XSS по-прежнему представляет значительный риск для безопасности.

Кроме того, SSRF может использоваться привилегированным пользователем для запроса внутренних служб, что потенциально может способствовать перечислению внутренней сети, если целевые конечные точки доступны из затронутого продукта.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

WSO2

Резервировать

30.05.2025

Раскрытие

24.10.2025

Модерация

принято

Вход

VDB-329769

EPSS

0.00583

KEV

Нет

Деятельности

Очень низкий

Сектор

Finance

Источники

Do you need the next level of professionalism?

Upgrade your account now!