Plataforma
java
Componente
wso2-api-manager
Corregido en
2.2.0.58
2.5.0.84
2.6.0.145
3.0.0.175
3.1.0.339
3.2.0.439
3.2.1.59
4.0.0.359
4.1.0.222
4.2.0.161
4.3.0.73
4.4.0.37
4.5.0.21
4.5.0.22
4.5.0.20
4.5.0.20
5.3.0.39
5.5.0.52
5.6.0.74
5.7.0.124
5.9.0.175
5.10.0.358
5.2.0.33
5.3.0.34
5.4.0.33
5.4.1.37
5.5.0.51
5.6.0.59
5.7.0.125
5.8.0.109
5.9.0.168
5.10.0.368
5.11.0.411
6.0.0.243
6.1.0.241
7.0.0.116
7.1.0.23
1.4.0.132
1.5.0.122
1.4.0.138
1.5.0.139
2.0.0.388
2.0.0.408
1.1.1.2
1.1.16.3
1.1.18.4
1.1.20.5
1.1.26.7
1.3.6.8
1.4.0.18
1.4.25.24
1.4.52.4
1.6.1.11
1.7.1.4
1.8.11.6
1.8.41.2
1.9.4.4
1.9.18.2
Se ha descubierto una vulnerabilidad de falta de autenticación en las implementaciones de mutual TLS (mTLS) de WSO2 API Manager, afectando a versiones desde 0 hasta 7.1.0.23. Esta falla permite a atacantes enviar solicitudes no autenticadas a System REST APIs y servicios SOAP, incluso cuando mTLS está habilitado debido a una validación incorrecta de la autenticación basada en certificados de cliente en configuraciones predeterminadas. La solución es actualizar a la versión 7.1.0.23 o implementar configuraciones de seguridad adicionales.
La vulnerabilidad CVE-2025-9312 permite a un atacante eludir la autenticación en WSO2 API Manager, incluso cuando se utiliza mTLS. Esto significa que un atacante podría acceder a datos confidenciales, modificar la configuración del sistema o ejecutar código malicioso sin necesidad de credenciales válidas. El impacto es particularmente grave porque mTLS se utiliza a menudo para proteger APIs sensibles, y esta vulnerabilidad anula esa protección. Un atacante podría, por ejemplo, interceptar y modificar solicitudes API, robar información de usuarios o incluso tomar control del servidor API Manager. La falta de autenticación abre una puerta trasera para ataques internos y externos, comprometiendo la integridad y confidencialidad de los datos.
La vulnerabilidad CVE-2025-9312 fue publicada el 18 de noviembre de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la alta puntuación CVSS (9.8) indica un alto riesgo. Se recomienda monitorear activamente los sistemas WSO2 API Manager en busca de signos de actividad sospechosa. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de esta redacción.
Organizations heavily reliant on WSO2 API Manager for managing and securing their APIs are at significant risk. Specifically, deployments using default mTLS configurations without additional authentication layers are particularly vulnerable. Shared hosting environments where multiple tenants share the same WSO2 API Manager instance also face increased risk, as a compromise of one tenant could potentially lead to the compromise of others.
• java / server:
ps -ef | grep -i wso2• java / server:
journalctl -u wso2-api-manager -f | grep -i "mTLS"• generic web:
curl -I https://<wso2_api_manager_url>/system/rest/api/version # Check for 200 OK without authenticationdisclosure
Estado del Exploit
EPSS
0.06% (18% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-9312 es actualizar WSO2 API Manager a la versión 7.1.0.23 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda aplicar configuraciones de seguridad adicionales. Esto incluye revisar y fortalecer la configuración de mTLS, asegurándose de que la validación de certificados de cliente se realice correctamente. Además, se recomienda implementar reglas de firewall y WAF (Web Application Firewall) para bloquear solicitudes sospechosas. Es crucial revisar las configuraciones predeterminadas y aplicar el principio de menor privilegio, limitando el acceso a los recursos del sistema. Después de la actualización, confirme que la autenticación mTLS funciona correctamente mediante la realización de pruebas de penetración y escaneo de vulnerabilidades.
Actualice a la última versión de WSO2 API Manager que incluya la corrección para la validación de certificados mTLS. Consulte el anuncio de seguridad de WSO2 para obtener instrucciones específicas sobre cómo aplicar el parche o actualizar su instancia. Deshabilite o configure correctamente los flujos mTLS afectados hasta que pueda aplicar la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-9312 is a CRITICAL vulnerability in WSO2 API Manager where improper mTLS validation allows unauthenticated requests, bypassing authentication even when mTLS is enabled.
Yes, if you are using WSO2 API Manager versions 0 through 7.1.0.23 and have not implemented additional authentication measures beyond mTLS, you are potentially affected.
Upgrade WSO2 API Manager to version 7.1.0.23 or later. As a temporary workaround, tighten access controls and monitor API logs.
Active exploitation is not currently confirmed, but the high CVSS score and ease of exploitation suggest a potential risk.
Refer to the official WSO2 security advisory for detailed information and updates: [https://wso2.com/security-advisories/](https://wso2.com/security-advisories/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.