CVE-2025-1862

Nome do Software Vulnerável e Versões Afetadas Produtos WSO2 (versões afetadas não especificadas)

Descrição Existe uma vulnerabilidade de upload arbitrário de arquivos devido à validação insuficiente dos nomes de arquivos enviados pelos usuários no endpoint do serviço SOAP de upload BPEL. Um atacante com acesso administrativo pode fazer upload de arquivos para um local controlado pelo usuário no servidor. A exploração disso pode permitir que um atacante faça upload de um payload malicioso e obtenha execução remota de código (RCE), comprometendo potencialmente o servidor e seus dados. O endpoint vulnerável é '/services/bpel/upload'. A vulnerabilidade envolve o tratamento inadequado de nomes de arquivos fornecidos pelo usuário.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.