平台
java
组件
wso2-identity-server
修复版本
5.2.0.35
5.2.0.35
CVE-2025-12624 是 WSO2 Identity Server 中的一个安全漏洞,该漏洞源于用户帐户锁定时未撤销访问令牌。这可能导致已锁定用户继续访问受保护的资源。受影响的版本包括 WSO2 Identity Server 0.0.0 到 5.2.0.35。
CVE-2025-12624 在 WSO2 Identity Server 中允许在用户帐户被锁定时,活动访问令牌未被撤销或失效。这意味着即使帐户被锁定后,先前签发的有效访问令牌仍然可以使用,从而允许被锁定的用户帐户继续访问受保护的资源。这种撤销执行失败会造成重大的安全漏洞,因为访问控制策略被绕过。攻击者可以利用此漏洞来维持对敏感系统和数据的访问,即使采取了锁定用户的措施。
如果攻击者拥有在用户帐户被锁定之前签发的有效访问令牌,则可以利用此漏洞。帐户锁定后,攻击者可以继续使用这些令牌访问受保护的资源,从而绕过访问控制策略。利用的可能性取决于用户帐户被锁定的频率和访问令牌的有效期限。在访问令牌具有较长寿命或用户帐户很少被锁定的环境中,利用的可能性更高。
Organizations heavily reliant on WSO2 Identity Server for authentication and authorization are at risk. This includes those with legacy configurations or deployments where access tokens have long expiration times. Shared hosting environments utilizing WSO2 Identity Server are also particularly vulnerable, as compromised accounts on one instance could potentially impact other tenants.
• java / server:
# Check for WSO2 Identity Server version
java -version
# Monitor logs for unusual access token activity related to locked accounts
grep -i 'access token' /path/to/wso2/identity-server/logs/*.log• generic web:
# Check for exposed token endpoints
curl -I https://your-wso2-identity-server/tokendisclosure
漏洞利用状态
EPSS
0.01% (2% 百分位)
CISA SSVC
CVSS 向量
针对 CVE-2025-12624 的主要缓解措施是将 WSO2 Identity Server 升级到 5.2.0.35 或更高版本。此版本包含漏洞修复,确保在用户帐户被锁定时,访问令牌被正确撤销或失效。在应用升级时,建议撤销所有现有的访问令牌,以最大限度地减少未经授权访问的风险。此外,请审查并加强帐户锁定策略,以确保其得到有效执行。持续监控审计日志可以帮助检测可疑活动。
Actualice WSO2 Identity Server a la versión 5.2.0.35 o superior para mitigar la vulnerabilidad. Esta actualización corrige el problema de invalidación incorrecta del token, asegurando que las cuentas bloqueadas no puedan acceder a los recursos protegidos a través de tokens expirados.
漏洞分析和关键警报直接发送到您的邮箱。
WSO2 Identity Server 是一个身份和访问管理 (IAM) 平台,提供身份验证、授权和用户管理。
检查您使用的 WSO2 Identity Server 版本。如果您使用的是 5.2.0.35 之前的版本,则会受到影响。
在您无法立即升级的情况下,请考虑撤销现有的访问令牌并加强帐户锁定策略。
是的,此漏洞会影响使用 5.2.0.35 之前的版本的 WSO2 Identity Server 部署。
您可以在 WSO2 网站和 NIST NVD 等漏洞数据库中找到有关此漏洞的更多信息。
上传你的 pom.xml 文件,立即知道是否受影响。