Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2025-12107 |
| Źródło alertu | NVD - Nowa krytyczna podatność |
| Rok publikacji CVE | 2025 |
| Data publikacji | 2026-02-19 |
| Producent | Wso2 |
| Produkt | Identity serwer |
| CVSS Score | 10.0 (Krytyczny) |
| EPSS Score | 0.3% (percentyl: 53%) |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Due to the use of a vulnerable third-party Velocity template engine, a malicious actor with admin privilege may inject and execute arbitrary template syntax within server-side templates.
Successful exploitation of this vulnerability could allow a malicious actor with admin privilege to inject and execute arbitrary template code on the server, potentially leading to remote code execution, data manipulation, or nieautoryzowanego dostępu to sensitive information.
Wymagane działania
Apply vendor patches or mitigations as soon as available.
Kogo dotyczy?
Podatność dotyczy produktu Identity serwer firmy Wso2. Sprawdź czy Twoja organizacja używa tego oprogramowania i czy wymaga aktualizacji.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
