Plattform
java
Komponente
wso2-api-manager
Behoben in
3.1.0
3.1.0.351
3.2.0.455
3.2.1.74
4.0.0.375
4.1.0.238
5.10.0.360
5.11.0.405
CVE-2025-6024 describes a Cross-Site Scripting (XSS) vulnerability discovered in WSO2 API Manager. This flaw allows attackers to inject malicious scripts into the authentication endpoint, potentially leading to user redirection or UI manipulation. The vulnerability impacts versions from 0.0.0 up to and including 5.11.0.405, but a fix is available in version 5.11.0.405.
CVE-2025-6024 in WSO2 API Manager stellt eine XSS-Schwachstelle (Cross-Site Scripting) im Authentifizierungsendpunkt dar. Aufgrund unzureichender Kodierung der vom Benutzer bereitgestellten Eingaben, bevor sie in der Webseite gerendert werden, kann ein Angreifer bösartigen Code einschleusen. Dies könnte zu einer Umleitung des Browsers des Benutzers auf bösartige Websites, zur Manipulation der Benutzeroberfläche der Webseite oder zur Beschaffung von Informationen aus dem Browser führen. Obwohl das 'httpOnly'-Flag sessionbezogene Cookies schützt, ermöglicht die XSS-Schwachstelle dennoch Angriffe, die die Benutzererfahrung beeinträchtigen und potenziell nicht sensible Daten preisgeben können.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er bösartige Skripte in die Eingabefelder des Authentifizierungsformulars (z. B. Benutzername, Passwort) einschleust. Diese Skripte würden im Browser des Benutzers ausgeführt, wenn die Seite gerendert wird, was es dem Angreifer ermöglichen würde, Aktionen wie das Stehlen von Cookies (obwohl das 'httpOnly'-Flag den Zugriff auf Session-Cookies einschränkt), das Anzeigen falscher Inhalte oder die Umleitung des Benutzers auf eine vom Angreifer kontrollierte Website durchzuführen. Das Fehlen einer Eingabevalidierung am Authentifizierungsendpunkt ist die Hauptursache für diese Schwachstelle.
Organizations heavily reliant on WSO2 API Manager for managing and securing their APIs are at risk. Specifically, deployments using older versions (0.0.0 - 5.11.0.405) and those with inadequate input validation practices are particularly vulnerable. Shared hosting environments utilizing WSO2 API Manager should also be prioritized for patching.
• linux / server:
journalctl -u wso2-api-manager -g "authentication endpoint" | grep -i "script injection"• generic web:
curl -I <wso2_api_manager_authentication_endpoint> | grep -i "X-XSS-Protection"• generic web:
Inspect the HTML source code of the authentication page for any unexpected <script> tags or JavaScript code.
disclosure
Exploit-Status
EPSS
0.01% (1% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für CVE-2025-6024 besteht darin, WSO2 API Manager auf Version 5.11.0.405 oder höher zu aktualisieren. Diese Version enthält die notwendigen Korrekturen, um die Benutzereingabe am Authentifizierungsendpunkt korrekt zu kodieren und so das Risiko der Skripteinschleusung zu mindern. Es wird empfohlen, dieses Update so bald wie möglich anzuwenden, um Ihre API Manager-Umgebung zu schützen. Überprüfen Sie außerdem die Praktiken zur Eingabevalidierung und -kodierung in der gesamten Anwendung, um zukünftige XSS-Schwachstellen zu verhindern. Die Überwachung der Serverprotokolle auf verdächtige Aktivitäten ist ebenfalls eine gute Sicherheitspraxis.
Actualice WSO2 API Manager a la versión 3.1.0.351 o superior, 3.2.0.455 o superior, 3.2.1.74 o superior, 4.0.0.375 o superior, 4.1.0.238 o superior, 5.10.0.360 o superior, o 5.11.0.405 o superior para mitigar la vulnerabilidad de Cross-Site Scripting (XSS).
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Nein, das 'httpOnly'-Flag auf Session-Cookies schützt vor dem direkten Diebstahl von Session-Anmeldedaten. Der Angreifer kann jedoch weiterhin andere XSS-Angriffe durchführen.
Wenn ein sofortiges Update nicht möglich ist, sollten Sie zusätzliche Sicherheitsmaßnahmen ergreifen, z. B. eine Web Application Firewall (WAF), um bösartigen Datenverkehr zu filtern.
Überprüfen Sie die Version von WSO2 API Manager, die Sie verwenden. Wenn sie vor 5.11.0.405 liegt, ist sie anfällig.
Bösartige Skripte könnten JavaScript umfassen, um auf gefälschte Websites umzuleiten, Pop-ups anzuzeigen oder Informationen aus dem Browser zu stehlen.
Es gibt XSS-Schwachstellen-Scanning-Tools, die helfen können, diese Schwachstelle zu identifizieren. Weitere Informationen finden Sie in der WSO2-Dokumentation.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine pom.xml-Datei hoch und wir sagen dir sofort, ob du betroffen bist.