发布日期：2025-05-30
更新日期：2025-08-05

受影响系统：

WSO2 WSO2 API Manager 4.3.0
WSO2 WSO2 API Manager 4.2.0
WSO2 WSO2 API Manager 4.1.0
WSO2 WSO2 API Manager 4.0.0
WSO2 WSO2 API Manager 3.2.1
WSO2 WSO2 API Manager 3.2.0
WSO2 WSO2 API Manager 3.1.0
WSO2 WSO2 API Manager 3.0.0
WSO2 WSO2 API Manager 2.6.0
WSO2 WSO2 API Manager 2.5.0
WSO2 WSO2 API Manager 2.2.0
WSO2 WSO2 API Manager 2.1.0
WSO2 WSO2 API Manager 2.0.0
WSO2 WSO2 Identity Server 7.0.0
WSO2 WSO2 Identity Server 6.1.0
WSO2 WSO2 Identity Server 6.0.0
WSO2 WSO2 Identity Server 5.9.0
WSO2 WSO2 Identity Server 5.8.0
WSO2 WSO2 Identity Server 5.7.0
WSO2 WSO2 Identity Server 5.6.0
WSO2 WSO2 Identity Server 5.5.0
WSO2 WSO2 Identity Server 5.4.1
WSO2 WSO2 Identity Server 5.4.0
WSO2 WSO2 Identity Server 5.3.0
WSO2 WSO2 Identity Server 5.2.0
WSO2 WSO2 Identity Server 5.11.0
WSO2 WSO2 Identity Server 5.10.0
WSO2 WSO2 Identity Server as Key Manager 5.9.0
WSO2 WSO2 Identity Server as Key Manager 5.7.0
WSO2 WSO2 Identity Server as Key Manager 5.6.0
WSO2 WSO2 Identity Server as Key Manager 5.5.0
WSO2 WSO2 Identity Server as Key Manager 5.3.0
WSO2 WSO2 Identity Server as Key Manager 5.10.0
WSO2 WSO2 Open Banking AM 2.0.0
WSO2 WSO2 Open Banking AM 1.5.0
WSO2 WSO2 Open Banking AM 1.4.0
WSO2 WSO2 Open Banking AM 1.3.0
WSO2 WSO2 Open Banking KM 1.5.0
WSO2 WSO2 Open Banking KM 1.4.0
WSO2 WSO2 Open Banking KM 1.3.0
WSO2 WSO2 Open Banking IAM 2.0.0

描述：

---

CVE(CAN) ID: CVE-2024-7096

WSO2是由英国WSO2公司开发的开源SOA（面向服务架构）技术套件，基于Apache 2.0协议提供企业级集成解决方案。
WSO2多款产品的多个版本存在权限提升漏洞，该漏洞源于SOAP管理服务中的业务逻辑缺陷，在可访问SOAP管理服务、部署包括一个不属于默认WSO2产品配置的内部使用属性、至少一个具有非默认权限的自定义角色、了解自定义角色和部署中使用的内部属性的条件下，攻击者可利用该漏洞创建权限提升的新用户，绕过原本的访问控制机制。

<*链接：https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2024/WSO2-2024-3
*>

建议：

---

厂商补丁：

WSO2
----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://security.docs.wso2.com/en/latest/security-announcements/security-advisories/2024/WSO2-2024-3573/

浏览次数：34
严重程度：0（网友投票）