PT-2026-39583 · Wso2 · Wso2 Api Control Plane+9
Publicado
2026-05-11
·
Atualizado
2026-05-27
·
CVE-2025-8154
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
O nome do produto não pôde ser determinado (versões afetadas não especificadas)
Descrição
Em invocações de API de Webhook, o componente aceita entradas fornecidas pelo usuário para cabeçalhos de requisição HTTP sem validação ou sanitização suficiente, permitindo que esses cabeçalhos sejam injetados em respostas HTTP. Um ator malicioso pode injetar ou sobrescrever cabeçalhos de resposta HTTP arbitrários, o que pode levar à manipulação do cache do navegador, alteração de cabeçalhos relacionados à segurança e a injeção de informações sensíveis, como valores de cookies, permitindo potencialmente o sequestro de sessão.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wso2 Api Control Plane
Wso2 Api Manager
Wso2 Carbon Api Gateway
Wso2 Carbon Api Management Implementation
Wso2 Traffic Manager
Wso2 Universal Gateway
Api Control Plane
Aimanager
Traffic Manager
Universal Gateway