WSO2 Carbon Mediation XML外部实体(XXE)攻击漏洞

漏洞详情

包信息

• 包管理器: Maven
• 受影响包: org.wso2.carbon.mediation:org.wso2.carbon.localentry

版本影响

• 受影响版本: < 4.7.259
• 已修复版本: 无

漏洞描述

WSO2多个产品中存在XML外部实体(XXE)漏洞，这是由于XML解析器配置不当造成的。应用程序在解析用户提供的XML时未施加足够的限制，允许解析外部实体。

成功的攻击可能使远程、未经身份验证的攻击者能够：

• 读取服务器文件系统中的敏感文件
• 执行拒绝服务(DoS)攻击，导致受影响的服务不可用

技术细节

CVSS评分

• 总体严重程度: 中等
• CVSS v3.1评分: 6.5/10

CVSS v3基础指标

• 攻击向量: 网络
• 攻击复杂度: 低
• 所需权限: 高
• 用户交互: 无
• 范围: 未改变
• 机密性影响: 高
• 完整性影响: 无
• 可用性影响: 高

弱点分类

• CWE ID: CWE-611
• 弱点描述: XML外部实体引用限制不当

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-10713
• https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2025/WSO2-2025-4505
• wso2/carbon-mediation#1784
• wso2/carbon-mediation@b995b2f

标识符

• CVE ID: CVE-2025-10713
• GHSA ID: GHSA-fvfq-q238-j7j3

时间线

• 发布日期: 2025年11月5日
• GitHub咨询数据库发布: 2025年11月5日
• 最后更新: 2025年11月6日