PT-2026-39583 · Wso2 · Wso2 Api Control Plane+9

Publicado

2026-05-11

·

Atualizado

2026-05-27

·

CVE-2025-8154

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas O nome do produto não pôde ser determinado (versões afetadas não especificadas)
Descrição Em invocações de API de Webhook, o componente aceita entradas fornecidas pelo usuário para cabeçalhos de requisição HTTP sem validação ou sanitização suficiente, permitindo que esses cabeçalhos sejam injetados em respostas HTTP. Um ator malicioso pode injetar ou sobrescrever cabeçalhos de resposta HTTP arbitrários, o que pode levar à manipulação do cache do navegador, alteração de cabeçalhos relacionados à segurança e a injeção de informações sensíveis, como valores de cookies, permitindo potencialmente o sequestro de sessão.
Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Special Elements Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2025-8154

Produtos afetados

Wso2 Api Control Plane
Wso2 Api Manager
Wso2 Carbon Api Gateway
Wso2 Carbon Api Management Implementation
Wso2 Traffic Manager
Wso2 Universal Gateway
Api Control Plane
Aimanager
Traffic Manager
Universal Gateway