MEDIUMCVE-2025-6024CVSS 6.1

WSO2 产品中通过身份验证终端点进行的跨站脚本攻击允许重定向到恶意网站

Q: CVE-2025-6024 是什么 — WSO2 API Manager 中的 Cross-Site Scripting (XSS)？

不，会话 Cookie 上的 'httpOnly' 标志可以防止直接盗取会话凭据。 但是，攻击者仍然可以执行其他 XSS 攻击。

Q: 如何修复 WSO2 API Manager 中的 CVE-2025-6024？

检查您使用的 WSO2 API Manager 版本。 如果它早于 5.11.0.405，则容易受到攻击。

Q: 在哪里可以找到 WSO2 API Manager 关于 CVE-2025-6024 的官方安全通告？

有 XSS 漏洞扫描工具可以帮助识别此漏洞。 请参阅 WSO2 文档以获取更多信息。

平台

java

组件

wso2-api-manager

修复版本

3.1.0

3.1.0.351

3.2.0.455

3.2.1.74

4.0.0.375

4.1.0.238

5.10.0.360

5.11.0.405

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-6024 是WSO2 API Manager中的一个跨站脚本攻击(XSS)漏洞。该漏洞源于身份验证端点未能正确编码用户提供的输入，导致攻击者可以将恶意脚本注入到网页中。成功利用该漏洞可能导致用户被重定向到恶意网站、页面用户界面的篡改或从浏览器中提取信息，但由于httpOnly标志保护了与会话相关的cookie，因此无法进行会话劫持。该漏洞影响WSO2 API Manager 0.0.0到5.11.0.405版本，已于5.11.0.405版本中修复。

影响与攻击场景

WSO2 API Manager 中的 CVE-2025-6024 代表了身份验证端点中的一种 XSS（跨站脚本）漏洞。由于在将用户提供的输入渲染到网页之前未进行适当的编码，攻击者可以注入恶意脚本。这可能导致用户的浏览器被重定向到恶意网站、操纵网页的用户界面或从浏览器中检索信息。虽然 'httpOnly' 标志保护与会话相关的 Cookie，但此 XSS 漏洞仍然允许进行可能损害用户体验并可能暴露非敏感数据的攻击。

利用背景

攻击者可以通过将恶意脚本注入到身份验证表单的输入字段（例如用户名、密码）中来利用此漏洞。当页面呈现时，这些脚本将在用户的浏览器中执行，从而使攻击者能够执行诸如窃取 Cookie（尽管 httpOnly 标志限制了对会话 Cookie 的访问）、显示虚假内容或将用户重定向到攻击者控制的网站等操作。身份验证端点上缺乏输入验证是此漏洞的主要原因。

哪些人处于风险中翻译中…

Organizations heavily reliant on WSO2 API Manager for managing and securing their APIs are at risk. Specifically, deployments using older versions (0.0.0 - 5.11.0.405) and those with inadequate input validation practices are particularly vulnerable. Shared hosting environments utilizing WSO2 API Manager should also be prioritized for patching.

检测步骤翻译中…

• linux / server:

journalctl -u wso2-api-manager -g "authentication endpoint" | grep -i "script injection"

• generic web:

curl -I <wso2_api_manager_authentication_endpoint> | grep -i "X-XSS-Protection"

• generic web: Inspect the HTML source code of the authentication page for any unexpected <script> tags or JavaScript code.

攻击时间线

2026-04-16Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.01% (1% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件wso2-api-manager

供应商WSO2

影响范围修复版本

0 – 3.0.93.1.0

3.1.0 – 3.1.0.3503.1.0.351

3.2.0 – 3.2.0.4543.2.0.455

3.2.1 – 3.2.1.733.2.1.74

4.0.0 – 4.0.0.3744.0.0.375

4.1.0 – 4.1.0.2374.1.0.238

5.10.0 – 5.10.0.3595.10.0.360

5.11.0 – 5.11.0.4045.11.0.405

弱点分类 (CWE)

CWE-79

时间线

已保留2025-06-12
发布日期2026-04-16
EPSS 更新日期2026-04-23

缓解措施和替代方案

CVE-2025-6024 的解决方案是将 WSO2 API Manager 升级到 5.11.0.405 或更高版本。此版本包含必要的修复程序，以正确编码身份验证端点上的用户输入，从而降低脚本注入的风险。建议尽快应用此更新以保护您的 API Manager 环境。此外，请审查应用程序中输入验证和编码的实践，以防止未来的 XSS 漏洞。监控服务器日志以查找可疑活动也是一种很好的安全实践。

修复方法翻译中…

Actualice WSO2 API Manager a la versión 3.1.0.351 o superior, 3.2.0.455 o superior, 3.2.1.74 o superior, 4.0.0.375 o superior, 4.1.0.238 o superior, 5.10.0.360 o superior, o 5.11.0.405 o superior para mitigar la vulnerabilidad de Cross-Site Scripting (XSS).

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2025-6024 是什么 — WSO2 API Manager 中的 Cross-Site Scripting (XSS)？

不，会话 Cookie 上的 'httpOnly' 标志可以防止直接盗取会话凭据。但是，攻击者仍然可以执行其他 XSS 攻击。

WSO2 API Manager 中的 CVE-2025-6024 是否会影响我？

如果无法立即升级，请考虑实施额外的安全措施，例如 Web 应用程序防火墙 (WAF) 以过滤恶意流量。

如何修复 WSO2 API Manager 中的 CVE-2025-6024？

检查您使用的 WSO2 API Manager 版本。如果它早于 5.11.0.405，则容易受到攻击。

CVE-2025-6024 是否正在被积极利用？

恶意脚本可能包括用于将用户重定向到虚假网站、显示弹出窗口或窃取浏览器信息的 JavaScript。

在哪里可以找到 WSO2 API Manager 关于 CVE-2025-6024 的官方安全通告？

有 XSS 漏洞扫描工具可以帮助识别此漏洞。请参阅 WSO2 文档以获取更多信息。