WSO2 API Manager 2.0.0 及更早版本中发现了一个严重安全漏洞，对受影响的部署构成重大风险。该漏洞编号为 CVE-2025-2905 (CVSS 9.1)，是网关组件中的一个 XML 外部实体 (XXE) 漏洞。

根据该通报，该问题源于处理精心设计的 URL 路径时对 XML 输入的验证不当。正如 WSO2所指出的，“解析用户提供的 XML 时未施加足够的限制，从而导致 XML 外部实体 (XXE) 解析”。此漏洞允许恶意行为者利用 XML 解析器与服务器上的本地资源进行交互。

XXE攻击成功的后果可能非常严重：

任意文件访问：攻击者可能会从服务器的文件系统读取文件。访问级别取决于 Java 运行时：
在 JDK 7 或早期的 JDK 8 上，完整的文件内容可能会被暴露。在 JDK 8 及更高版本中，只能访问文件的第一行。
拒绝服务 (DoS)：恶意 XML 负载可能触发资源耗尽，导致服务不可用。

WSO2 对研究员 crnkovic 负责任地报告该漏洞并合作解决该漏洞表示赞赏。

虽然此漏洞非常严重，但不会发布新的补丁。WSO2 确认，该漏洞已在之前的公告WSO2-2016-0151中得到修复。该补丁不仅解决了之前报告的 XSS漏洞，还顺便缓解了 CVE-2025-2905 漏洞。

对于尚未应用 2016 补丁的用户，强烈建议立即修复，因为它解决了 XSS 和 XXE漏洞。