CVE-2025-11093CVE-2025-11093是影响多个WSO2产品的严重安全漏洞,源于GraalJS和NashornJS Script Mediator引擎的安全限制不足。该漏洞允许具有高权限的认证用户(包括管理员和API创建者)在集成运行时环境中执行任意代码。攻击者可通过构造恶意脚本利用Script Mediator引擎的沙箱逃逸或权限提升机制,在目标系统上执行未授权的系统命令。由于WSO2产品广泛应用于企业级API管理和集成场景,此漏洞可能对企业核心业务系统造成严重影响。CVSS评分8.4(高危),攻击向量为邻接网络,需高权限认证但无需用户交互,机密性、完整性和可用性均受到严重影响。
该漏洞的根本原因在于WSO2产品中Script Mediator引擎对JavaScript执行环境的安全限制不够严格。GraalJS和NashornJS引擎允许执行任意JavaScript代码,而引擎的沙箱机制存在缺陷,认证用户可以通过构造特定的JavaScript代码调用系统级API或访问底层资源。攻击者需要首先获取WSO2产品的高权限账户(如管理员或API创建者),然后通过API管理界面或集成配置功能注入恶意脚本代码。成功利用后,攻击者可在服务器端执行任意操作系统命令,获取敏感数据或完全控制受影响的系统。由于该漏洞位于集成运行时层面,攻击者还可以利用横向移动技术进一步渗透内网环境。