Kostenlos scannen
MEDIUMCVE-2024-10242CVSS 6.1

Reflected Cross-Site Scripting via Authentication Endpoint in WSO2 API Manager Allows UI Modification and Redirection

Plattform

javascript

Komponente

wso2-api-manager

Behoben in

3.2.0.401

3.2.0.401

4.0.0.318

AI Confidence: highNVDEPSS 0.0%Geprüft: Mai 2026
Auf NVD ansehen
Speichern
Wird in Ihre Sprache übersetzt…

CVE-2024-10242 describes a Cross-Site Scripting (XSS) vulnerability present in WSO2 API Manager. This flaw allows attackers to inject malicious scripts into the authentication endpoint, potentially leading to user redirection or UI manipulation. The vulnerability impacts versions from 0.0.0 through 4.0.0.318, but a fix is available in version 4.0.0.318.

Auswirkungen und Angriffsszenarien

Die CVE-2024-10242-Schwachstelle in WSO2 API Manager liegt in der unzureichenden Validierung von Benutzereingaben am Authentifizierungsendpunkt. Dies ermöglicht es einem Angreifer, bösartige Skript-Payloads in Eingabeparameter einzuschleusen, die dann vom Browser des Opfers ausgeführt werden. Obwohl eine erfolgreiche Ausnutzung es einem Angreifer ermöglichen kann, den Browser des Benutzers auf eine bösartige Website umzuleiten, die Benutzeroberfläche der Webseite zu verändern oder Informationen aus dem Browser abzurufen, ist der Schaden begrenzt, da sitzungsbezogene sensible Cookies nicht direkt kompromittiert werden. Der CVSS-Wert beträgt 6,1, was ein moderates Risiko anzeigt. Es wird dringend empfohlen, auf Version 4.0.0.318 zu aktualisieren, um dieses Risiko zu mindern.

Ausnutzungskontext

Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er bösartige Anfragen an den Authentifizierungsendpunkt von WSO2 API Manager sendet. Diese Anfragen würden manipulierte Eingabeparameter enthalten, die bösartigen JavaScript-Code enthalten. Wenn die Eingabe nicht ordnungsgemäß validiert wird, führt der Browser des Opfers diesen Code aus, wodurch der Angreifer Aktionen wie die Umleitung des Benutzers auf eine Phishing-Website, das Stehlen von Anmeldeinformationen oder die Veränderung des Erscheinungsbilds der Website durchführen kann. Das Fehlen der Eingabevalidierung ist die Ursache der Schwachstelle, und die Komplexität des Authentifizierungsendpunkts könnte die Erkennung erschweren.

Wer Ist Gefährdetwird übersetzt…

Organizations utilizing WSO2 API Manager for managing and securing APIs, particularly those running versions 0.0.0 through 4.0.0.318, are at risk. This includes companies relying on WSO2 API Manager for authentication and authorization processes, and those with custom integrations that interact with the authentication endpoint.

Erkennungsschrittewird übersetzt…

• javascript: Examine the WSO2 API Manager authentication endpoint for unusual JavaScript behavior or unexpected redirects. Use browser developer tools to inspect network requests and responses for injected scripts. • generic web: Monitor access and error logs for suspicious patterns indicative of XSS attempts, such as unusual characters or script tags in authentication requests. • generic web: Check response headers for Content-Security-Policy (CSP) directives. A properly configured CSP can significantly reduce the impact of XSS vulnerabilities.

Angriffszeitlinie

  1. Disclosure

    disclosure

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

EPSS

0.01% (3% Perzentil)

CISA SSVC

Ausnutzungnone
Automatisierbarno
Technische Auswirkungpartial

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N6.1MEDIUMAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredNoneErforderliche AuthentifizierungsstufeUser InteractionRequiredOb ein Opfer eine Aktion ausführen mussScopeChangedAuswirkungen über die Komponente hinausConfidentialityLowRisiko der Offenlegung sensibler DatenIntegrityLowRisiko nicht autorisierter DatenänderungAvailabilityNoneRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Keine — ohne Authentifizierung ausnutzbar. Keine Zugangsdaten erforderlich.
User Interaction
Erforderlich — Opfer muss eine Datei öffnen, auf einen Link klicken oder eine Seite besuchen.
Scope
Geändert — Angriff kann über die anfällige Komponente hinaus auf andere Systeme übergreifen.
Confidentiality
Niedrig — partieller oder indirekter Zugriff auf einige Daten.
Integrity
Niedrig — Angreifer kann einige Daten mit begrenztem Umfang ändern.
Availability
Keine — kein Verfügbarkeitseinfluss.

Betroffene Software

Komponentewso2-api-manager
HerstellerWSO2
Betroffener BereichBehoben in
0.0.0 – 3.1.93.2.0.401
3.2.0 – 3.2.03.2.0.401
4.0.0 – 4.0.04.0.0.318

Schwachstellen-Klassifikation (CWE)

CWE-79

Zeitleiste

  1. Reserviert
  2. Veröffentlicht
  3. EPSS aktualisiert

Mitigation und Workarounds

Die Lösung für CVE-2024-10242 ist die Aktualisierung von WSO2 API Manager auf Version 4.0.0.318 oder höher. Diese Version enthält die erforderlichen Korrekturen, um die Benutzereingabe ordnungsgemäß zu validieren und Skriptinjektionen zu verhindern. Als vorübergehende Maßnahme zur Risikominderung wird empfohlen, eine Content Security Policy (CSP) zu implementieren, um die Quellen von Skripten einzuschränken, die im Browser ausgeführt werden können. Es ist auch wichtig, die Serverprotokolle regelmäßig auf verdächtige Aktivitäten im Zusammenhang mit dem Authentifizierungsendpunkt zu überwachen. Das Update ist die effektivste und empfohlene Lösung, um die Schwachstelle vollständig zu beseitigen.

So behebenwird übersetzt…

Actualice WSO2 API Manager a la versión 3.2.0.401 o superior, o a la versión 4.0.0.318 o superior. Esta actualización corrige la vulnerabilidad de Cross-Site Scripting (XSS) al validar adecuadamente la entrada del usuario en el punto final de autenticación.

CVE-Sicherheitsnewsletter

Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.

Häufig gestellte Fragen

Was ist CVE-2024-10242 — Cross-Site Scripting (XSS) in WSO2 API Manager?

Skriptinjektion ist eine Sicherheitslücke, die es einem Angreifer ermöglicht, bösartigen Code (normalerweise JavaScript) in eine Webseite einzuschleusen. Dieser Code wird dann im Browser des Benutzers ausgeführt, wodurch der Angreifer bösartige Aktionen durchführen kann.

Bin ich von CVE-2024-10242 in WSO2 API Manager betroffen?

CVSS (Common Vulnerability Scoring System) ist ein Standard zur Bewertung der Schwere von Sicherheitslücken. Ein Wert von 6,1 weist auf ein moderates Risiko hin.

Wie behebe ich CVE-2024-10242 in WSO2 API Manager?

Als vorübergehende Maßnahme implementieren Sie eine Content Security Policy (CSP) und überwachen Sie die Serverprotokolle auf verdächtige Aktivitäten.

Wird CVE-2024-10242 aktiv ausgenutzt?

Ja, alle Versionen vor 4.0.0.318 sind anfällig für diese Schwachstelle.

Wo finde ich den offiziellen WSO2 API Manager-Hinweis für CVE-2024-10242?

Konsultieren Sie die offizielle Dokumentation von WSO2 API Manager für detaillierte Anweisungen, wie Sie auf Version 4.0.0.318 oder höher aktualisieren können.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen