Plateforme
java
Composant
wso2-identity-server
Corrigé dans
5.2.0.35
5.2.0.35
CVE-2025-12624 concerne une faille de sécurité dans WSO2 Identity Server où les tokens d'accès ne sont pas invalidés lorsque le compte d'un utilisateur est bloqué. Cette absence de révocation permet aux tokens valides précédemment émis de rester utilisables, contournant ainsi les politiques de contrôle d'accès et permettant un accès non autorisé aux ressources protégées. La vulnérabilité affecte les versions de WSO2 Identity Server de 0.0.0 à 5.2.0.35. Une correction est disponible dans la version 5.2.0.35.
La vulnérabilité CVE-2025-12624 dans WSO2 Identity Server permet aux jetons d'accès actifs de ne pas être révoqués ou invalidés lorsqu'un compte utilisateur est verrouillé. Cela signifie qu'après le verrouillage d'un compte, les jetons d'accès précédemment émis et valides peuvent rester utilisables, permettant aux comptes verrouillés d'accéder à des ressources protégées. Cette défaillance dans l'application de la révocation crée une brèche de sécurité importante, car les politiques de contrôle d'accès sont contournées. Un attaquant pourrait exploiter cette vulnérabilité pour maintenir l'accès à des systèmes et données sensibles, même après que des mesures ont été prises pour verrouiller un utilisateur.
Un attaquant pourrait exploiter cette vulnérabilité s'il a accès à des jetons d'accès valides émis avant le verrouillage d'un compte utilisateur. Une fois le compte verrouillé, l'attaquant pourrait continuer à utiliser ces jetons pour accéder à des ressources protégées, en contournant les politiques de contrôle d'accès. La probabilité d'exploitation dépend de la fréquence à laquelle les comptes d'utilisateurs sont verrouillés et de la durée de validité des jetons d'accès. L'exploitation est plus probable dans les environnements où les jetons d'accès ont une longue durée de vie ou où les comptes d'utilisateurs sont verrouillés rarement.
Organizations heavily reliant on WSO2 Identity Server for authentication and authorization are at risk. This includes those with legacy configurations or deployments where access tokens have long expiration times. Shared hosting environments utilizing WSO2 Identity Server are also particularly vulnerable, as compromised accounts on one instance could potentially impact other tenants.
• java / server:
# Check for WSO2 Identity Server version
java -version
# Monitor logs for unusual access token activity related to locked accounts
grep -i 'access token' /path/to/wso2/identity-server/logs/*.log• generic web:
# Check for exposed token endpoints
curl -I https://your-wso2-identity-server/tokendisclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
L'atténuation principale pour CVE-2025-12624 est de mettre à niveau WSO2 Identity Server vers la version 5.2.0.35 ou supérieure. Cette version inclut la correction de la vulnérabilité, garantissant que les jetons d'accès sont correctement révoqués ou invalidés lorsque le compte d'un utilisateur est verrouillé. Pendant la mise à niveau, il est recommandé de révoquer tous les jetons d'accès existants pour minimiser le risque d'accès non autorisé. De plus, examinez et renforcez les politiques de verrouillage de compte pour vous assurer qu'elles sont appliquées efficacement. La surveillance continue des journaux d'audit peut aider à détecter les activités suspectes.
Actualice WSO2 Identity Server a la versión 5.2.0.35 o superior para mitigar la vulnerabilidad. Esta actualización corrige el problema de invalidación incorrecta del token, asegurando que las cuentas bloqueadas no puedan acceder a los recursos protegidos a través de tokens expirados.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
WSO2 Identity Server est une plateforme de gestion des identités et des accès (IAM) fournissant l'authentification, l'autorisation et la gestion des utilisateurs.
Vérifiez la version de WSO2 Identity Server que vous utilisez. Si vous utilisez une version antérieure à 5.2.0.35, vous êtes vulnérable.
En attendant de pouvoir effectuer la mise à niveau, envisagez de révoquer les jetons d'accès existants et de renforcer les politiques de verrouillage de compte.
Oui, cette vulnérabilité affecte tous les déploiements de WSO2 Identity Server utilisant des versions antérieures à 5.2.0.35.
Vous pouvez trouver plus d'informations sur cette vulnérabilité sur le site Web de WSO2 et dans les bases de données de vulnérabilités telles que le NIST NVD.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.