CVE-2025-10713CVE-2025-10713是WSO2多款产品中存在的XML外部实体(XXE)注入漏洞。由于XML解析器配置不当,应用程序在解析用户提供的XML数据时未应用足够的限制,允许解析外部实体。攻击者可利用此漏洞在无需认证的情况下,通过网络远程读取服务器文件系统中的敏感文件,如配置文件、密码文件、密钥等。此外,攻击者还可以发起拒绝服务(DoS)攻击,使受影响的服务不可用。该漏洞的CVSS评分为6.5,属于中等严重程度,对机密性和可用性具有较高影响。
该漏洞源于WSO2产品中XML解析器的安全配置缺陷。XML外部实体(XXE)是一种针对XML解析器的攻击技术,攻击者通过在XML文档中引入恶意构造的外部实体引用,使解析器在处理XML时访问攻击者指定的外部资源。当应用程序直接解析用户提交的XML数据而未禁用外部实体功能时,攻击者可以:1)通过file://协议读取服务器本地文件;2)通过http://等协议发起SSRF攻击;3)利用参数实体进行递归引用导致DoS。成功利用此漏洞需要攻击者具有较高权限(PR:H),但无需用户交互(UI:N),攻击向量为网络层面(AV:N)。攻击者可读取/etc/passwd、配置文件、数据库凭证等敏感信息,或使服务崩溃。