Platform
java
Component
wso2-identity-server
Opgelost in
5.2.0.35
5.2.0.35
CVE-2025-12624 affects WSO2 Identity Server versions from 0.0.0 through 5.2.0.35. This vulnerability allows previously issued access tokens to remain valid even after a user account is locked, effectively bypassing access control policies. The issue arises from the failure to revoke or invalidate these tokens during the account locking process. A fix is available in version 5.2.0.35.
CVE-2025-12624 in WSO2 Identity Server maakt het mogelijk dat actieve toegangstokens niet worden ingetrokken of ongeldig gemaakt wanneer een gebruikersaccount wordt vergrendeld. Dit betekent dat, zelfs nadat een account is vergrendeld, eerder uitgegeven, geldige toegangstokens nog steeds bruikbaar kunnen zijn, waardoor vergrendelde gebruikersaccounts toegang blijven hebben tot beschermde resources. Dit gebrek aan intrekkingseisen creëert een aanzienlijk beveiligingslek, omdat toegangscontrolebeleid wordt omzeild. Een aanvaller kan dit kwetsbaarheid misbruiken om toegang tot gevoelige systemen en gegevens te behouden, zelfs nadat maatregelen zijn genomen om een gebruiker te vergrendelen.
Een aanvaller kan deze kwetsbaarheid misbruiken als hij toegang heeft tot geldige toegangstokens die zijn uitgegeven voordat een gebruikersaccount werd vergrendeld. Zodra het account is vergrendeld, kan de aanvaller deze tokens blijven gebruiken om toegang te krijgen tot beschermde resources, waardoor toegangscontrolebeleid wordt omzeild. De waarschijnlijkheid van misbruik hangt af van hoe vaak gebruikersaccounts worden vergrendeld en de geldigheid van toegangstokens. Misbruik is waarschijnlijker in omgevingen waar toegangstokens een lange levensduur hebben of waar gebruikersaccounts zelden worden vergrendeld.
Organizations heavily reliant on WSO2 Identity Server for authentication and authorization are at risk. This includes those with legacy configurations or deployments where access tokens have long expiration times. Shared hosting environments utilizing WSO2 Identity Server are also particularly vulnerable, as compromised accounts on one instance could potentially impact other tenants.
• java / server:
# Check for WSO2 Identity Server version
java -version
# Monitor logs for unusual access token activity related to locked accounts
grep -i 'access token' /path/to/wso2/identity-server/logs/*.log• generic web:
# Check for exposed token endpoints
curl -I https://your-wso2-identity-server/tokendisclosure
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
CVSS-vector
De belangrijkste mitigatie voor CVE-2025-12624 is het upgraden van WSO2 Identity Server naar versie 5.2.0.35 of hoger. Deze versie bevat de fix voor de kwetsbaarheid, waardoor ervoor wordt gezorgd dat toegangstokens correct worden ingetrokken of ongeldig gemaakt wanneer een gebruikersaccount wordt vergrendeld. Tijdens het upgraden wordt aanbevolen om alle bestaande toegangstokens in te trekken om het risico op ongeautoriseerde toegang te minimaliseren. Daarnaast moeten beleidsregels voor accountvergrendeling worden herzien en versterkt om ervoor te zorgen dat ze effectief worden afgedwongen. Continue monitoring van auditlogs kan helpen bij het detecteren van verdachte activiteiten.
Actualice WSO2 Identity Server a la versión 5.2.0.35 o superior para mitigar la vulnerabilidad. Esta actualización corrige el problema de invalidación incorrecta del token, asegurando que las cuentas bloqueadas no puedan acceder a los recursos protegidos a través de tokens expirados.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
WSO2 Identity Server is een Identity en Access Management (IAM) platform dat authenticatie, autorisatie en gebruikersbeheer biedt.
Controleer de versie van WSO2 Identity Server die u gebruikt. Als u een versie gebruikt die vóór 5.2.0.35 is, bent u kwetsbaar.
Als u niet onmiddellijk kunt upgraden, overweeg dan om bestaande toegangstokens in te trekken en de beleidsregels voor accountvergrendeling te versterken.
Ja, deze kwetsbaarheid heeft invloed op alle WSO2 Identity Server-implementaties die versies gebruiken die vóór 5.2.0.35 zijn.
U kunt meer informatie over deze kwetsbaarheid vinden op de WSO2-website en in kwetsbaarheidsdatabases zoals NIST NVD.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.