CVE-2025-2905

Nome do Software Vulnerável e Versões Afetadas WSO2 API Manager versões 2.0.0 e anteriores

Descrição Existe uma vulnerabilidade de Entidade Externa XML (XXE) no componente de gateway do WSO2 API Manager devido à validação insuficiente de entrada XML em caminhos de URL manipulados. O XML fornecido pelo usuário é processado sem as restrições apropriadas, permitindo a resolução de entidades externas. Um atacante remoto e não autenticado pode explorar essa vulnerabilidade para ler arquivos do sistema de arquivos do servidor ou realizar ataques de negação de serviço (DoS). Em sistemas executando JDK 7 ou versões iniciais do JDK 8, o conteúdo completo dos arquivos pode ser exposto. Em versões posteriores do JDK 8 e mais recentes, apenas a primeira linha de um arquivo pode ser lida devido a melhorias no comportamento do analisador XML. Ataques DoS, como cargas úteis "Billion Laughs", podem causar interrupção do serviço.

Recomendações Aplique o patch WSO2-2016-0151 às versões 2.0.0 e anteriores.