Специалисты по кибербезопасности выявили новую серьезную уязвимость в платформе WSO2 API Manager, которая используется для интеграции интерфейсов прикладного программирования (API), приложений и веб-служб. Уязвимость, зарегистрированная в Банке данных угроз (BDU) под номером BDU:2026-02584, получила идентификатор CVE-2025-2905. Она связана с неправильным ограничением XML-ссылок на внешние объекты, что технически классифицируется как CWE-611. Данная ошибка позволяет удаленному злоумышленнику без аутентификации проводить так называемые XXE-атаки (XML External Entity attack). В результате успешной эксплуатации нарушитель может получить несанкционированный доступ к конфиденциальным данным файловой системы сервера, включая потенциально чувствительные файлы конфигурации, и вызвать отказ в обслуживании.
Детали уязвимости
Уязвимость затрагивает WSO2 API Manager версии 2.0.0 и все более ранние релизы. Производитель программного обеспечения, компания WSO2, уже подтвердил наличие проблемы и выпустил официальное исправление. Согласно системе оценки CVSS, уязвимость имеет критический уровень опасности. Базовый балл по версии CVSS 3.1 составляет 9.1 из 10. Это указывает на высокий потенциал для масштабного компрометирования систем, поскольку для атаки не требуются ни специальные привилегии, ни взаимодействие с пользователем. Атака может быть инициирована через сеть, что делает угрозу особенно актуальной для облачных развертываний и систем, доступных из интернета.
Эксперты подчеркивают, что XXE-атаки остаются распространенным вектором угрозы для приложений, обрабатывающих XML-данные. В данном случае уязвимость относится к классу инъекций. Злоумышленник может внедрить вредоносные XML-сущности в запросы, обрабатываемые сервером. Затем, вследствие некорректной конфигурации парсера, система может интерпретировать эти сущности, что приведет к несанкционированному чтению локальных файлов или исходящим сетевым запросам на контролируемые атакующим ресурсы. Следовательно, последствия успешного взлома могут быть крайне серьезными, включая утечку данных и нарушение доступности ключевых бизнес-сервисов, построенных на базе WSO2 API Manager.
На текущий момент информация о наличии публичных эксплойтов, предназначенных для эксплуатации этой уязвимости, уточняется. Однако, учитывая высокий рейтинг CVSS и публикацию деталей, можно ожидать, что злоумышленники, в том числе группы, связанные с APT, быстро попытаются разработать и применить методы атаки. Поэтому администраторам настоятельно рекомендуется действовать незамедлительно. Единственным надежным способом устранения уязвимости является обновление программного обеспечения до защищенной версии. Производитель предоставил подробные рекомендации по исправлению в своем бюллетене безопасности WSO2-2025-3993.
Рекомендации по безопасности включают в себя немедленное применение патчей, выпущенных WSO2. Администраторам следует обратиться к официальной документации по безопасности компании. Кроме того, в качестве временной меры или дополнительной защиты специалисты советуют настроить валидацию и фильтрацию всех входящих XML-данных на уровне межсетевого экрана или шлюза API. Также необходимо обеспечить корректную конфигурацию XML-парсеров, отключив обработку внешних сущностей и DTD, если эта функциональность не является строго необходимой для бизнес-процессов. Регулярный аудит конфигураций и мониторинг подозрительной активности с помощью систем IDS/IPS могут помочь в раннем выявлении попыток атаки.
Таким образом, обнаруженная уязвимость в WSO2 API Manager представляет собой значительный риск для организаций, использующих эту платформу для управления API. Критический уровень угрозы и простота удаленной эксплуатации требуют от ИТ-специалистов и команд SOC принятия срочных мер по обновлению систем. Своевременное применение исправлений является ключевым действием для предотвращения потенциальных инцидентов безопасности, которые могут привести к существенным финансовым и репутационным потерям.
Ссылки
- https://bdu.fstec.ru/vul/2026-02584
- https://www.cve.org/CVERecord?id=CVE-2025-2905
- https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2025/WSO2-2025-3993/
