製品・ソフトウェアに関する情報

JVN脆弱性詳細

WSO2のWSO2 API Control Plane等の複数製品におけるパーミッションの不適切な保持に関する脆弱性

Title	WSO2のWSO2 API Control Plane等の複数製品におけるパーミッションの不適切な保持に関する脆弱性
Summary	このソフトウェアは、特定のゲートウェイAPI呼び出しに対してロールベースのアクセス制御を適切に適用していません。『Internal/Everyone』ロールを持つユーザーは、意図された権限チェックを回避してこれらのAPIを呼び出すことが可能です。同じ脆弱性は内部サービスAPIにも影響を与え、WSO2 APIM 3.xバージョンでこれらのAPIが露出する可能性があります。脆弱な環境に有効なユーザーアカウントを持つ悪意のある攻撃者は、実際のロールや権限に関係なくゲートウェイREST APIに対して機密操作を実行できる可能性があります。これにより、特に本番環境において想定外の動作や悪用が発生する恐れがあります。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 11, 2026, midnight
Registration Date	May 29, 2026, 11:18 a.m.
Last Update	May 29, 2026, 11:18 a.m.

Affected System

WSO2

WSO2 API Control Plane 4.5.0 以上 4.5.0.18 未満

WSO2 API Manager 3.2.0 以上 3.2.0.435 未満

WSO2 API Manager 3.2.1 以上 3.2.1.55 未満

WSO2 API Manager 4.0.0 以上 4.0.0.355 未満

WSO2 API Manager 4.1.0 以上 4.1.0.219 未満

WSO2 API Manager 4.2.0 以上 4.2.0.157 未満

WSO2 API Manager 4.3.0 以上 4.3.0.70 未満

WSO2 API Manager 4.4.0 以上 4.4.0.33 未満

WSO2 API Manager 4.5.0 以上 4.5.0.17 未満

WSO2 Traffic Manager 4.5.0 以上 4.5.0.17 未満

WSO2 Universal Gateway 4.5.0 以上 4.5.0.17 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2025-8325	https://www.cve.org/CVERecord?id=CVE-2025-8325
National Vulnerability Database (NVD)
2	CVE-2025-8325	https://nvd.nist.gov/vuln/detail/CVE-2025-8325

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-281	http://cwe.mitre.org/data/definitions/281.html

ベンダー情報

No	Name	URL
Security Announcements
1	Security Advisory WSO2-2025-4401/CVE-2025-8325	https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2026/WSO2-2025-4401/

Change Log

No	Changed Details	Date of change
1	[2026年05月29日] 掲載	May 29, 2026, 11:18 a.m.

NVD Vulnerability Information

CVE-2025-8325

Summary	The software fails to enforce role-based access controls for certain Gateway API invocations. Users with the 'Internal/Everyone' role can invoke these APIs, bypassing intended permission checks. This same vulnerability also affects Internal Service APIs, potentially exposing them in WSO2 APIM 3.x versions. A malicious actor with a valid user account on a vulnerable deployment can perform sensitive operations against the Gateway REST API regardless of their actual roles or privileges. This could lead to unintended behavior or misuse, particularly in production environments.
Publication Date	May 11, 2026, 7:16 p.m.
Registration Date	May 12, 2026, 4:13 a.m.
Last Update	May 14, 2026, 12:25 a.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2026/WSO2-2025-4401/	ed10eef1-636d-4fbe-9993-6890dfa878f8

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-281	パーミッションの不適切な保持	https://cwe.mitre.org/data/definitions/281.html