प्लेटफ़ॉर्म
java
घटक
wso2-identity-server
में ठीक किया गया
5.2.0.35
5.2.0.35
CVE-2025-12624 affects WSO2 Identity Server versions from 0.0.0 through 5.2.0.35. This vulnerability allows previously issued access tokens to remain valid even after a user account is locked, effectively bypassing access control policies. The issue arises from the failure to revoke or invalidate these tokens during the account locking process. A fix is available in version 5.2.0.35.
CVE-2025-12624 WSO2 Identity Server में अनुमति देता है कि उपयोगकर्ता खाते को लॉक करने पर सक्रिय एक्सेस टोकन को रद्द या अमान्य नहीं किया जाता है। इसका मतलब है कि खाते को लॉक करने के बाद भी, पहले जारी किए गए वैध एक्सेस टोकन का उपयोग जारी रखा जा सकता है, जिससे लॉक किए गए उपयोगकर्ता खाते संरक्षित संसाधनों तक पहुंचने में सक्षम हो जाते हैं। इस रद्द करने के प्रवर्तन की विफलता से एक महत्वपूर्ण सुरक्षा अंतर पैदा होता है, क्योंकि एक्सेस कंट्रोल नीतियां बाईपास हो जाती हैं। एक हमलावर इस भेद्यता का फायदा उठाकर संवेदनशील सिस्टम और डेटा तक पहुंच बनाए रख सकता है, भले ही उपयोगकर्ता को लॉक करने के लिए कदम उठाए गए हों।
यदि किसी हमलावर के पास उपयोगकर्ता खाते को लॉक करने से पहले जारी किए गए वैध एक्सेस टोकन तक पहुंच है, तो वह इस भेद्यता का फायदा उठा सकता है। खाते को लॉक करने के बाद, हमलावर इन टोकन का उपयोग संरक्षित संसाधनों तक पहुंचने के लिए जारी रख सकता है, जिससे एक्सेस कंट्रोल नीतियों को बाईपास किया जा सकता है। शोषण की संभावना उपयोगकर्ता खातों को लॉक करने की आवृत्ति और एक्सेस टोकन की वैधता अवधि पर निर्भर करती है। एक्सेस टोकन के लंबे जीवनकाल या उपयोगकर्ता खातों को शायद ही कभी लॉक किए जाने वाले वातावरण में शोषण की संभावना अधिक होती है।
Organizations heavily reliant on WSO2 Identity Server for authentication and authorization are at risk. This includes those with legacy configurations or deployments where access tokens have long expiration times. Shared hosting environments utilizing WSO2 Identity Server are also particularly vulnerable, as compromised accounts on one instance could potentially impact other tenants.
• java / server:
# Check for WSO2 Identity Server version
java -version
# Monitor logs for unusual access token activity related to locked accounts
grep -i 'access token' /path/to/wso2/identity-server/logs/*.log• generic web:
# Check for exposed token endpoints
curl -I https://your-wso2-identity-server/tokendisclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (2% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-12624 के लिए प्राथमिक शमन WSO2 Identity Server को संस्करण 5.2.0.35 या उच्चतर में अपग्रेड करना है। इस संस्करण में इस भेद्यता के लिए फिक्स शामिल है, यह सुनिश्चित करता है कि उपयोगकर्ता खाते को लॉक करने पर एक्सेस टोकन को सही ढंग से रद्द या अमान्य किया जाता है। अपग्रेड करते समय, अनधिकृत पहुंच के जोखिम को कम करने के लिए सभी मौजूदा एक्सेस टोकन को रद्द करने की सिफारिश की जाती है। इसके अतिरिक्त, खाते को लॉक करने की नीतियों की समीक्षा और मजबूत करें ताकि यह सुनिश्चित हो सके कि उन्हें प्रभावी ढंग से लागू किया गया है। ऑडिट लॉग की निरंतर निगरानी संदिग्ध गतिविधि का पता लगाने में मदद कर सकती है।
Actualice WSO2 Identity Server a la versión 5.2.0.35 o superior para mitigar la vulnerabilidad. Esta actualización corrige el problema de invalidación incorrecta del token, asegurando que las cuentas bloqueadas no puedan acceder a los recursos protegidos a través de tokens expirados.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
WSO2 Identity Server एक पहचान और एक्सेस प्रबंधन (IAM) प्लेटफॉर्म है जो प्रमाणीकरण, प्राधिकरण और उपयोगकर्ता प्रबंधन प्रदान करता है।
जांचें कि आप WSO2 Identity Server के किस संस्करण का उपयोग कर रहे हैं। यदि आप 5.2.0.35 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
जब तक आप अपग्रेड नहीं कर सकते, मौजूदा एक्सेस टोकन को रद्द करने और खाते को लॉक करने की नीतियों को मजबूत करने पर विचार करें।
हाँ, यह भेद्यता 5.2.0.35 से पहले के संस्करणों का उपयोग करने वाले सभी WSO2 Identity Server परिनियोजन को प्रभावित करती है।
आप WSO2 वेबसाइट और NIST NVD जैसे भेद्यता डेटाबेस पर इस भेद्यता के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।