CVE-2025-2905 (CVSS 9.1): Critical XXE Vulnerability Found in WSO2 API Manager
2025/05/06 SecurityOnline — WSO2 API Manager 2.0.0 以下のバージョンに、XML 外部エンティティ (XXE) の脆弱性が発見された。この脆弱性 CVE-2025-2905 (CVSS:9.1) は、ゲートウェイ・コンポーネントに存在する。同社のアドバイザリによると、この脆弱性は、細工された URL パスを処理する際の 、XML 入力の検証不備に起因するとのことだ。WSO2 は、「ユーザーから提供された XML が、十分な制限をかけずに解析されるため、XML 外部エンティティ (XXE) 解決が可能な状況にある」と詳述している。
この脆弱性の悪用に成功した攻撃者は、XML パーサーを悪用し、サーバ上のローカル・リソースへの不正アクセスの可能性を手にする。
XXE 攻撃が成功した場合、以下のような深刻な影響が生じるという:
- 任意のファイルへのアクセス:攻撃者は、サーバのファイル・システムからファイルを読み取る可能性を得る。そのアクセス権限は、Java ランタイムに応じて異なるものとなる。
- JDK 7 または初期の JDK 8 では、ファイルの内容全体が公開される可能性がある。
- JDK 8 以降では、ファイルの最初の行のみにアクセスできる。
- サービス拒否 (DoS):悪意の XML ペイロードにより、リソースが枯渇し、サービスが利用不能になる可能性がある。
この脆弱性は研究者 crnkovic により責任ある形で報告され、WSO2 との共同作業により解決が図られた。
なお、この重大な脆弱性に対して、新しいパッチはリリースされない。WSO2 にると、2016年に公開されたアドバイザリ (WSO2-2016-0151) で、この脆弱性は既に修正されている。このパッチは、その当時に報告された XSS の脆弱性を修正するものだったが、結果的に CVE-2025-2905 も併せて解決したとのことだ。
2016年のパッチを未適用していないユーザーに対して、強く推奨されるのは、直ちに対策を講じ、XSS および XXE の脆弱性に対応することである。
WSO2 API Manager について調べていたら、「企業における ingress/egress/AI-powered/agent API などの、あらゆる API を完全に制御しガバナンスする、完全な OSS プラットフォームである。統合されたコントロール・プレーン/複数の API ゲートウェイに加えて、LLM と Agent API を管理するための AI ゲートウェイにより、WSO2 はベンダー・ロックインのないシームレスな拡張性/安全性/柔軟性を実現する」と説明されていました。文中では、2016年以前からの歴史が示されていますが、なんというか、最先端の API 管理を提供しているのですね。よろしければ、カテゴリ API も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.