WSO2 Identity Server as Key Manager SOAP Admin Service/System REST API эскалация привилегий
| CVSS Meta Temp Score | Текущая цена эксплойта (≈) | Балл интереса CTI |
|---|---|---|
| 7.4 | $0-$5k | 0.00 |
Сводка
Уязвимость была найдена в WSO2 Identity Server as Key Manager, Identity Server, Open Banking KM, Open Banking IAM, Open Banking AM, API Manager, Identity Server Analytics, API Manager Analytics, Enterprise Integrator, Enterprise Service Bus Analytics, Data Analytics Server, Enterprise Mobility Manager, Universal Gateway, API Control Plane, Traffic Manager, org.wso2.carbon.extension.identity.authenticator.outbound.totp:org.wso2.carbon.extension.identity.authenticator.totp.connector, org.wso2.carbon.apimgt:org.wso2.carbon.apimgt.rest.api.util, org.wso2.carbon:org.wso2.carbon.base, org.wso2.carbon.identity.framework:org.wso2.carbon.identity.application.mgt, org.wso2.carbon:org.wso2.carbon.server.admin and org.wso2.carbon.identity.workflow.user:org.wso2.carbon.user.mgt.workflow и классифицирована как критический. Неизвестная функция компонента SOAP Admin Service/System REST API поражена. Манипуляция приводит к эскалация привилегий. Эта уязвимость однозначно идентифицируется как CVE-2025-9804. Атака может быть инициирована только в пределах локальной сети. Эксплойт не найден. Рекомендуется провести обновление затронутого компонента.
Подробности
Уязвимость была найдена в WSO2 Identity Server as Key Manager, Identity Server, Open Banking KM, Open Banking IAM, Open Banking AM, API Manager, Identity Server Analytics, API Manager Analytics, Enterprise Integrator, Enterprise Service Bus Analytics, Data Analytics Server, Enterprise Mobility Manager, Universal Gateway, API Control Plane, Traffic Manager, org.wso2.carbon.extension.identity.authenticator.outbound.totp:org.wso2.carbon.extension.identity.authenticator.totp.connector, org.wso2.carbon.apimgt:org.wso2.carbon.apimgt.rest.api.util, org.wso2.carbon:org.wso2.carbon.base, org.wso2.carbon.identity.framework:org.wso2.carbon.identity.application.mgt, org.wso2.carbon:org.wso2.carbon.server.admin and org.wso2.carbon.identity.workflow.user:org.wso2.carbon.user.mgt.workflow и классифицирована как критический. Неизвестная функция компонента SOAP Admin Service/System REST API поражена. Манипуляция приводит к эскалация привилегий. Использование классификатора CWE для обозначения проблемы ведет к CWE-284. Слабость была опубликована. Консультацию можно прочитать на сайте security.docs.wso2.com.
Эта уязвимость однозначно идентифицируется как CVE-2025-9804. Дата назначения CVE — 01.09.2025. Атака может быть инициирована только в пределах локальной сети. Техническая информация не предоставлена. Популярность этой уязвимости ниже среднего. Эксплойт не найден. Сейчас цена на эксплойт приблизительно равна USD $0-$5k. Проект MITRE ATT&CK определяет технику атаки как T1068.
Указано значение Не определено.
Рекомендуется провести обновление затронутого компонента.
Продукт
Тип
Поставщик
Имя
- API Control Plane
- API Manager
- API Manager Analytics
- Data Analytics Server
- Enterprise Integrator
- Enterprise Mobility Manager
- Enterprise Service Bus Analytics
- Identity Server
- Identity Server Analytics
- Identity Server as Key Manager
- Open Banking AM
- Open Banking IAM
- Open Banking KM
- org.wso2.carbon.apimgt:org.wso2.carbon.apimgt.rest.api.util
- org.wso2.carbon.extension.identity.authenticator.outbound.totp:org.wso2.carbon.extension.identity.authenticator.totp.connector
- org.wso2.carbon.identity.framework:org.wso2.carbon.identity.application.mgt
- org.wso2.carbon.identity.workflow.user:org.wso2.carbon.user.mgt.workflow
- org.wso2.carbon:org.wso2.carbon.base
- org.wso2.carbon:org.wso2.carbon.server.admin
- Traffic Manager
- Universal Gateway
Лицензия
CPE 2.3
CPE 2.2
CVSSv4
VulDB Вектор: 🔒VulDB Надёжность: 🔍
CVSSv3
VulDB Meta Base Score: 7.5VulDB Meta Temp Score: 7.4
VulDB Базовый балл: 6.3
VulDB Временная оценка: 6.0
VulDB Вектор: 🔒
VulDB Надёжность: 🔍
NVD Базовый балл: 6.5
NVD Вектор: 🔒
CNA Базовый балл: 9.6
CNA Вектор (WSO2): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔒
VulDB Временная оценка: 🔒
VulDB Надёжность: 🔍
Эксплуатация
Класс: эскалация привилегийCWE: CWE-284 / CWE-266
CAPEC: 🔒
ATT&CK: 🔒
Физический: Нет
Локальный: Нет
Удалённый: Да
Доступность: 🔒
Статус: Не определено
EPSS Score: 🔒
EPSS Percentile: 🔒
Прогноз цен: 🔍
Оценка текущей цены: 🔒
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: ОбновлениеСтатус: 🔍
0-дневное время: 🔒
Хронология
01.09.2025 CVE присвоен16.10.2025 Консультация опубликована
16.10.2025 Запись VulDB создана
21.11.2025 Последнее обновление VulDB
Источники
Консультация: security.docs.wso2.comСтатус: Подтверждённый
CVE: CVE-2025-9804 (🔒)
GCVE (CVE): GCVE-0-2025-9804
GCVE (VulDB): GCVE-100-328802
Вход
Создано: 16.10.2025 16:08Обновлено: 21.11.2025 22:53
Изменения: 16.10.2025 16:08 (63), 16.10.2025 16:09 (2), 21.11.2025 22:53 (11)
Завершенный: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.