CVE-2025-8325 in API Control PlaneИнформация

Сводка

по VulDB • 11.05.2026

В программном обеспечении не обеспечивается принудительное применение контроля доступа на основе ролей (RBAC) для некоторых вызовов Gateway API. Пользователи с ролью «Internal/Everyone» могут вызывать эти API, обходя предусмотренные проверки разрешений. Эта же уязвимость также затрагивает API внутренних служб, потенциально делая их доступными в версиях WSO2 APIM 3.x.

Злоумышленник, имеющий действительный пользовательский аккаунт в уязвимом развертывании, может выполнять конфиденциальные операции против Gateway REST API независимо от его фактических ролей или привилегий. Это может привести к непреднамеренному поведению или misuse (злоупотреблению), особенно в производственных средах.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

WSO2

Резервировать

30.07.2025

Раскрытие

11.05.2026

Модерация

принято

Вход

VDB-362593

CPE

готов

CWE

CWE-281 (Подтверждённый)

CVSS

6.3 (CNA)

EPSS

0.00044

KEV

Нет

Деятельности

Очень низкий

Сектор

Transportation, Chemical, ...

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2025-8325
NVD	https://nvd.nist.gov/vuln/detail/CVE-2025-8325
CVE Details	https://www.cvedetails.com/cve/CVE-2025-8325/

◂ Предыдущий Обзор Далее ▸

Do you need the next level of professionalism?

Upgrade your account now!